Politik for offentliggørelse af sårbarheder

Introduktion

Ansell er en global ekspert i sikkerhedsløsninger, der har genopfundet personlig beskyttelse i 125 år. Vi leverer de mest avancerede beskyttelsesløsninger til millioner af mennesker på arbejdspladsen og i hjemmet, så de ikke kommer i fare. Vores ekspertise, innovative produkter og avancerede teknologi giver vores kunder ro i sindet og tillid, som intet andet brand kan præstere. Ansells mission er at levere innovative sikkerhedsløsninger på en tillidsvækkende og pålidelig måde og skabe en Ansell-beskyttet verden.

Denne politik har til formål at give sikkerhedsforskere klare retningslinjer for at udføre sårbarhedsopdagelsesaktiviteter og at formidle vores præferencer for, hvordan opdagede cybersikkerhedssårbarheder skal indsendes til os.

Denne politik beskriver, hvilke systemer og typer af forskning, der er dækket af denne politik, hvordan man sender os sårbarhedsrapporter, og hvor længe vi beder sikkerhedsforskere om at vente, før de offentliggør en cybersikkerhedssårbarhed.

Vi opfordrer dig til at kontakte os for at rapportere enhver potentiel sårbarhed i vores systemer.

Autorisation

Hvis du i god tro bestræber dig på at overholde denne politik under din sikkerhedsforskning, vil vi anse din forskning for at være autoriseret, og vi vil samarbejde med dig om at forstå og løse eventuelle cybersikkerhedsproblemer hurtigt, og Ansell vil ikke anbefale eller forfølge retslige skridt i forbindelse med din forskning. Hvis en tredjepart indleder en retssag mod dig for aktiviteter, der er udført i overensstemmelse med denne politik, vil vi gøre opmærksom på denne tilladelse.

Retningslinjer

1. Rapporter nye, unikke cybersikkerhedssårbarheder: Det hjælper os med at fokusere på at løse de risici, der har størst betydning for os og vores kunder. Indsend ikke en stor mængde rapporter af lav kvalitet/lav risiko.
2. Du må ikke kompromittere systemer eller exfiltrere data: Brug kun exploits i det omfang, det er nødvendigt for at bekræfte tilstedeværelsen af en cybersikkerhedssårbarhed. Når du har fået nok information til at indikere et sikkerhedsproblem, må du ikke forsøge at etablere persistens, målrette, opregne eller exfiltrere interne data, etablere kommandolinjeadgang, bruge en sårbarhed til at pege på andre systemer. Stop din test, og giv kun Ansell besked med det samme, hvis du støder på følsomme data (herunder personligt identificerbare oplysninger, økonomiske oplysninger eller ejendomsretligt beskyttede oplysninger eller forretningshemmeligheder fra nogen part).
3. Respekter andre: Gør det ikke: krænke privatlivets fred for nogen af Ansells medarbejdere eller kunder, få adgang til eller forsøge at få adgang til data, der ikke tilhører dig; forårsage forringelse af brugeroplevelsen, udføre ikke-tekniske angreb (f.eks. social engineering, phishing eller uautoriseret adgang til infrastruktur og Ansells medarbejdere) eller udføre handlinger, der kan påvirke Ansell eller dets kunder negativt; forårsage afbrydelse af produktionssystemer og eksponering, ødelæggelse eller manipulation af data.
4. Samarbejd: Samarbejd kun med os gennem vores koordinerede afsløringsproces, så snart en cybersikkerhedssårbarhed er identificeret. E-mailadressen og HTTPS-webformularen er tilgængelige nedenfor.
5. Giv os besked (via nedenstående trin), så snart du opdager et reelt eller potentielt sikkerhedsproblem med vores system. Vi ønsker at løse disse problemer hurtigt og beder om, at rettidig besked til os ikke ofres, mens du måske udfører yderligere forskning, f.eks. på andre produkter.
6. Giv os en rimelig tid til at løse problemet, før du offentliggør det. 90 kalenderdage fra modtagelsen hos os (software, herunder cloud-baserede systemer og mobilapps) eller 120 kalenderdage fra modtagelsen hos os (hardware, firmware og trådløs).

Offentliggørelse af oplysninger

Som beskrevet i retningslinjerne ovenfor beder vi dig om at afstå fra at dele din rapport om Ansell med andre, før du sender den til os, og mens vi undersøger den formodede cybersikkerhedssårbarhed og potentielt arbejder på en patch eller andre løsninger, for at overholde denne politik. Du bedes tage eventuelle Ansell-problemer op med os, før du videregiver oplysninger.

Vi vil informere dig, når vi er færdige med vores resultater, efter at cybersikkerhedssårbarheden er løst. For at overholde denne politik kræver vi, at du linker til Ansells resultater sammen med dine resultater i alle blogindlæg, offentlige rapporter, præsentationer eller andre offentlige udtalelser om sagen. Bortset fra eventuelt at angive en overordnet tidslinje for den sårbarhed, du har gjort os opmærksomme på, vil vi ikke offentliggøre oplysninger om dig eller vores kommunikation med dig uden din tilladelse. Hvis du ønsker at blive genkendt, vil vi takke dig med navns nævnelse i vores advisory. Ansell krediterer ikke Ansells og dets datterselskabers medarbejdere eller leverandører for sårbarheder, de har fundet.

I det omfang denne politik henviser til en "sårbarhed" eller "sårbarheder", er det hensigten og underforstået, at alle sådanne henvisninger betyder potentielle eller formodede cybersikkerhedssårbarheder, uanset om det er angivet eller ej, indtil en sådan sårbarhed er blevet undersøgt og bekræftet af Ansell. Det er helt op til os, om vi vil anerkende afsløringen af en sårbarhed og tidspunktet for anerkendelsen, og vi kan til enhver tid annullere programmet. Din test må ikke overtræde nogen love.

Testmetoder

Følgende testmetoder er ikke godkendt:

• Network denial of service (DoS eller DDoS) tests eller andre tests, der forringer adgangen til eller beskadiger et system eller data.
• Fysisk testning (f.eks. adgang til kontoret, åbne døre, tailgating), social engineering (f.eks. phishing, vishing) eller enhver anden ikke-teknisk sårbarhedstestning.

Omfang

Denne politik gælder for følgende systemer og tjenester:

• https://ansell.com
• https://guardian.ansell.com
• https://ansellguardianchemical.com
• https://motion.inteliforz.com
• https://demo.motion.inteliforz.com
• Ethvert andet underdomæne af ansell.com

Alle kundeansøgninger er udelukket fra denne politik.

Sårbarheder uden for anvendelsesområdet

Når du rapporterer sårbarheder, bedes du overveje (1) angrebsscenarie/udnyttelsesmulighed og (2) sikkerhedseffekten af fejlen. Følgende spørgsmål anses for at være uden for anvendelsesområdet:

• Clickjacking på sider uden følsomme handlinger
• Cross-Site Request Forgery (CSRF) på ikke-autentificerede formularer eller formularer uden følsomme handlinger
• Angreb, der kræver MITM eller fysisk adgang til en brugers enhed
• Tidligere kendte sårbare biblioteker uden et fungerende Proof of Concept
• Comma Separated Values (CSV) injection uden at demonstrere en sårbarhed.
• Manglende best practices i SSL/TLS-konfiguration.
• Enhver aktivitet, der kan føre til afbrydelse af vores service (DoS)
• Problemer med indholdsspoofing og tekstinjektion uden at vise en angrebsvektor/uden at kunne ændre HTML/CSS
• Problemer med hastighedsbegrænsning eller brute-force på slutpunkter uden autentificering
• Manglende best practices i Content Security Policy
• Manglende Http Only- eller Secure-flag på cookies
• Manglende bedste praksis for e-mail (ugyldige, ufuldstændige eller manglende SPF/DKIM/DMARC-poster osv.)
• Sårbarheder, der kun påvirker brugere af forældede eller upatchede browsere [mindre end 2 stabile versioner bag den seneste frigivne stabile version].
• Afsløring af softwareversion / Problemer med banneridentifikation / Beskrivende fejlmeddelelser eller overskrifter (f.eks. stack traces, applikations- eller serverfejl)
• Tabnabbing
• Åben omdirigering - medmindre der kan påvises en yderligere sikkerhedspåvirkning
• Problemer, der kræver usandsynlig brugerinteraktion

Alle tjenester, der ikke udtrykkeligt er nævnt ovenfor, såsom alle tilsluttede tjenester, er udelukket fra anvendelsesområdet og er ikke godkendt til test. Derudover falder cybersikkerhedssårbarheder fundet i systemer fra vores leverandører uden for denne politiks anvendelsesområde og skal rapporteres direkte til leverandøren i henhold til deres oplysningspolitik (hvis nogen). Hvis du ikke er sikker på, om et system er omfattet eller ej, så kontakt os på security.vdr@ansell.com, før du begynder din research.

Selvom vi udvikler og vedligeholder andre internettilgængelige systemer eller tjenester, beder vi om, at aktiv forskning og test kun udføres på de systemer og tjenester, der er omfattet af dette dokument. Hvis der er et bestemt system, som ikke er omfattet, og som du mener bør testes, bedes du kontakte os for at diskutere det først. Vi har til hensigt at øge omfanget af denne politik med tiden.

Rapportering af en sårbarhed

Oplysninger, der indsendes i henhold til denne politik, vil kun blive brugt til defensive formål - til at afbøde eller afhjælpe cybersikkerhedssårbarheder. Vi deler ikke dit navn eller dine kontaktoplysninger uden udtrykkelig tilladelse.

Vi accepterer sårbarhedsrapporter på denne formular nedenfor eller via security.vdr@ansell.com. Rapporter kan indsendes anonymt. Hvis du deler kontaktoplysninger, vil vi bekræfte modtagelsen af din rapport inden for 3 arbejdsdage.

Vi understøtter ikke PGP-krypterede e-mails. For særligt følsomme oplysninger skal du indsende via vores HTTPS-webformular nedenfor.

Hvad vi gerne vil se fra dig

For at hjælpe os med at sortere og prioritere indsendelser anbefaler vi, at dine rapporter:

• Beskriv det sted, hvor cybersikkerhedssårbarheden blev opdaget, og den potentielle effekt af udnyttelsen.
• Giv en detaljeret beskrivelse af de trin, der er nødvendige for at reproducere cybersikkerhedssårbarheden (proof of concept-scripts eller skærmbilleder er nyttige), herunder (hvis relevant):
  o Version af mobilapplikation
  o Enhedstype, operativsystemversion, browserversion
• Vær på engelsk, hvis det er muligt.

Hvad du kan forvente af os

Når du vælger at dele dine kontaktoplysninger med os, forpligter vi os til at koordinere med dig så åbent og så hurtigt som muligt.

• Inden for 5 arbejdsdage vil vi bekræfte, at vi har modtaget din rapport.
• Vi vil efter bedste evne bekræfte eksistensen af cybersikkerhedssårbarheden over for dig og være så gennemsigtige som muligt om, hvilke skridt vi tager under afhjælpningsprocessen, herunder om problemer eller udfordringer, der kan forsinke løsningen.
• Vi vil opretholde en åben dialog for at diskutere problemer.
• Ved at rapportere en sikkerhedsfejl eller sårbarhed giver du os ret til at bruge din rapport til ethvert formål.

Spørgsmål

Spørgsmål vedrørende denne politik kan sendes til security.vdr@ansell.com. Vi inviterer dig også til at kontakte os med forslag til forbedring af denne politik.