SELECTEER UW LAND/REGIO

Beleid voor openbaarmaking van kwetsbaarheden

Inleiding

Ansell is een wereldwijde expert in veiligheidsoplossingen en vindt al 125 jaar persoonlijke bescherming uit. We leveren de meest geavanceerde beschermingsoplossingen aan miljoenen mensen op het werk en thuis, zodat ze geen gevaar lopen. Onze expertise, innovatieve producten, en geavanceerde technologie geven onze klanten meer gemoedsrust en vertrouwen dan enig ander merk. Ansell heeft als missie om op een vertrouwenwekkende en betrouwbare manier innovatieve veiligheidsoplossingen te leveren en daardoor een door Ansell beschermde wereld te creëren.

Dit beleid is bedoeld om beveiligingsonderzoekers duidelijke richtlijnen te geven voor het ontdekken van kwetsbaarheden en om onze voorkeuren kenbaar te maken voor het indienen van ontdekte kwetsbaarheden op het gebied van cyberbeveiliging.

In dit beleid wordt beschreven welke systemen en soorten onderzoek onder dit beleid vallen, hoe u ons rapporten over kwetsbaarheden kunt sturen en hoe lang we beveiligingsonderzoekers vragen te wachten voordat ze een kwetsbaarheid op het gebied van cyberbeveiliging openbaar maken.

We raden je aan contact met ons op te nemen om mogelijke kwetsbaarheden in onze systemen te melden.

Autorisatie

Als u tijdens uw beveiligingsonderzoek te goeder trouw probeert om dit beleid na te leven, beschouwen wij uw onderzoek als geautoriseerd en zullen wij met u samenwerken om eventuele problemen op het vlak van cyberbeveiliging snel te begrijpen en op te lossen. Indien een derde partij gerechtelijke stappen tegen u onderneemt voor activiteiten die in overeenstemming met dit beleid zijn uitgevoerd, zullen we deze toestemming bekendmaken.

Richtlijnen

  1. Rapporteer nieuwe, unieke kwetsbaarheden op het gebied van cyberbeveiliging: Dit helpt ons om ons te concentreren op het oplossen van de risico's die de grootste impact hebben op ons en onze klanten. Dien geen grote hoeveelheden rapporten van lage kwaliteit/laag risico in
  2. Geen systemen compromitteren of gegevens exfiltreren: Gebruik exploits alleen voor zover dat nodig is om de aanwezigheid van een kwetsbaarheid op het gebied van cyberbeveiliging te bevestigen. Als je eenmaal genoeg informatie hebt verkregen om een beveiligingsprobleem aan te geven, probeer dan niet om persistentie vast te stellen, interne gegevens te targeten, op te sommen of te exfiltreren, commandoregeltoegang te krijgen of een kwetsbaarheid te gebruiken om naar andere systemen te gaan. Stop uw test en breng alleen Ansell onmiddellijk op de hoogte als u op gevoelige gegevens stuit (met inbegrip van persoonlijk identificeerbare informatie, financiële informatie of eigendomsinformatie of handelsgeheimen van een partij).
  3. Respecteer anderen: Niet doen: de privacy van Ansell-medewerkers of -klanten schenden, toegang verkrijgen of proberen te verkrijgen tot gegevens die u niet toebehoren, de gebruikerservaring verslechteren, niet-technische aanvallen uitvoeren (bv. social engineering, phishing of ongeoorloofde toegang tot de infrastructuur en de medewerkers van Ansell) of acties ondernemen die Ansell of zijn klanten negatief kunnen beïnvloeden, productiesystemen verstoren en gegevens blootleggen, vernietigen of manipuleren.
  4. Samenwerken: Werk alleen met ons samen via ons gecoördineerde openbaarmakingsproces zodra een kwetsbaarheid op het gebied van cyberbeveiliging is vastgesteld. Het e-mailadres en HTTPS-webformulier zijn hieronder beschikbaar.
  5. Breng ons op de hoogte (via onderstaande stappen) zodra je een echt of potentieel beveiligingsprobleem met ons systeem ontdekt. We willen deze problemen snel aanpakken en vragen dat een tijdige kennisgeving aan ons niet wordt opgeofferd terwijl u verder onderzoek doet, bijvoorbeeld naar andere producten.
  6. Geef ons een redelijke hoeveelheid tijd om het probleem op te lossen voordat je het publiekelijk bekendmaakt. 90 kalenderdagen na ontvangst door ons (software, inclusief cloud-gebaseerde systemen en mobiele apps) of 120 kalenderdagen na ontvangst door ons (hardware, firmware en draadloos).

Openbaarmaking

Zoals in de bovenstaande richtlijnen wordt uiteengezet, vragen wij u om uw melding over Ansell niet met anderen te delen voordat u deze bij ons indient en terwijl wij het vermoede zwakke punt in de cyberbeveiliging onderzoeken en mogelijk aan een patch of andere oplossingen werken. Bespreek alle Ansell-kwesties met ons voordat u een melding doet.

We zullen je informeren wanneer we onze bevindingen hebben afgerond nadat het lek in de cyberbeveiliging is verholpen. Om dit beleid na te leven, eisen wij dat u in blogberichten, openbare verslagen, presentaties of andere openbare verklaringen over dit onderwerp naast uw bevindingen ook een link naar de bevindingen van Ansell opneemt. Behalve de mogelijke vermelding van een algemene tijdlijn met betrekking tot de kwetsbaarheid die u onder onze aandacht hebt gebracht, zullen we geen informatie over u of onze communicatie met u publiceren zonder uw toestemming. Als je herkend wilt worden, bedanken we je met je naam of handtekening in onze nieuwsbrief. Ansell geeft geen krediet aan werknemers of contractanten van Ansell en zijn dochterondernemingen voor kwetsbaarheden die zij hebben gevonden.

Voor zover in dit beleid wordt verwezen naar een "kwetsbaarheid" of "kwetsbaarheden", is het de bedoeling en wordt begrepen dat met dergelijke verwijzingen potentiële of vermoede kwetsbaarheden op het vlak van cyberbeveiliging worden bedoeld, al dan niet zo vermeld, totdat een dergelijke kwetsbaarheid door Ansell is onderzocht en bevestigd. Of we de onthulling van een kwetsbaarheid al dan niet erkennen en wanneer we dit doen, bepalen we zelf en we kunnen het programma op elk moment stopzetten. Je tests mogen geen wetten overtreden.

Testmethoden

De volgende testmethoden zijn niet toegestaan:

  • Netwerk denial of service (DoS of DDoS) tests of andere tests die de toegang tot een systeem of gegevens belemmeren of beschadigen
  • Fysieke tests (bijv. toegang tot kantoren, open deuren, bumperkleven), social engineering (bijv. phishing, vishing) of andere niet-technische kwetsbaarheidstests

Toepassingsgebied

Dit beleid is van toepassing op de volgende systemen en services:

Alle aanvragen van klanten zijn uitgesloten van dit beleid.

Buiten bereik kwetsbaarheden

Houd bij het melden van kwetsbaarheden rekening met (1) aanvalsscenario / uitbuitbaarheid en (2) de gevolgen van de bug voor de beveiliging. De volgende kwesties worden beschouwd als buiten het toepassingsgebied vallend:

  • Clickjacking op pagina's zonder gevoelige acties
  • Cross-Site Request Forgery (CSRF) op niet-geauthenticeerde formulieren of formulieren zonder gevoelige acties
  • Aanvallen waarbij MITM of fysieke toegang tot het apparaat van een gebruiker nodig is
  • Eerder bekende kwetsbare bibliotheken zonder een werkend Proof of Concept
  • Comma Separated Values (CSV) injectie zonder een kwetsbaarheid aan te tonen.
  • Ontbrekende best practices in SSL/TLS-configuratie.
  • Elke activiteit die kan leiden tot de verstoring van onze service (DoS)
  • Problemen met content spoofing en tekstinjectie zonder een aanvalsvector te tonen/zonder HTML/CSS te kunnen wijzigen
  • Problemen met snelheidsbeperking of brute kracht op niet-authenticatie-eindpunten
  • Ontbrekende best practices in beleid voor inhoudbeveiliging
  • Ontbrekende Http Only of Secure vlaggen op cookies
  • Ontbrekende best practices voor e-mail (ongeldige, onvolledige of ontbrekende SPF/DKIM/DMARC-records, enz.)
  • Kwetsbaarheden die alleen van invloed zijn op gebruikers van verouderde of ongepatchte browsers [Minder dan 2 stabiele versies achter op de laatst uitgebrachte stabiele versie].
  • Openbaarmaking van softwareversie / Banneridentificatieproblemen / Beschrijvende foutberichten of headers (bijv. stack traces, applicatie- of serverfouten)
  • Tabnabbing
  • Open redirect - tenzij een extra effect op de beveiliging kan worden aangetoond
  • Problemen die onwaarschijnlijke gebruikersinteractie vereisen

Alle diensten die hierboven niet uitdrukkelijk worden vermeld, zoals verbonden diensten, zijn uitgesloten van het toepassingsgebied en mogen niet worden getest. Daarnaast vallen kwetsbaarheden op het gebied van cyberbeveiliging die zijn aangetroffen in systemen van onze leveranciers buiten de reikwijdte van dit beleid en moeten deze direct aan de leverancier worden gemeld volgens hun openbaarmakingsbeleid (indien van toepassing). Als je niet zeker weet of een systeem binnen het toepassingsgebied valt of niet, neem dan contact met ons op via security.vdr@ansell.com voordat je met je onderzoek begint.

Hoewel we andere systemen of diensten ontwikkelen en onderhouden die toegankelijk zijn via het internet, vragen we om actief onderzoek en testen alleen uit te voeren op de systemen en diensten die binnen de reikwijdte van dit document vallen. Als er een bepaald systeem is waarvan je denkt dat het het testen waard is, neem dan contact met ons op om het eerst te bespreken. We zijn van plan om de reikwijdte van dit beleid in de loop van de tijd uit te breiden.

Een kwetsbaarheid melden

Informatie die onder dit beleid wordt ingediend, wordt alleen gebruikt voor defensieve doeleinden - om kwetsbaarheden op het gebied van cyberbeveiliging te beperken of te verhelpen. We zullen je naam of contactgegevens niet delen zonder uitdrukkelijke toestemming.

We accepteren meldingen van kwetsbaarheden via dit formulier hieronder of via security.vdr@ansell.com. Meldingen mogen anoniem worden ingediend. Als je contactgegevens doorgeeft, zullen we binnen 3 werkdagen de ontvangst van je melding bevestigen.

We ondersteunen geen PGP-gecodeerde e-mails. Als je bijzonder gevoelige informatie nodig hebt, kun je deze versturen via ons HTTPS-webformulier hieronder.

Wat we van jou willen zien

Om ons te helpen bij het onderzoeken en prioriteren van de inzendingen, raden we aan dat uw rapporten:

  • Beschrijf de locatie waar het zwakke punt in de cyberbeveiliging werd ontdekt en de mogelijke gevolgen van uitbuiting.
  • Geef een gedetailleerde beschrijving van de stappen die nodig zijn om het zwakke punt in de cyberbeveiliging te reproduceren (proof of concept scripts of schermafbeeldingen zijn nuttig), inclusief (indien van toepassing):
    o Versie mobiele applicatie
    o Type apparaat, versie besturingssysteem, browserversie
  • Indien mogelijk in het Engels.

Wat u van ons kunt verwachten

Wanneer u ervoor kiest om uw contactgegevens met ons te delen, verplichten wij ons om zo open en zo snel mogelijk met u te communiceren.

  • Binnen 5 werkdagen bevestigen we dat we je melding hebben ontvangen.
  • We zullen naar ons beste vermogen het bestaan van het zwakke punt in de cyberbeveiliging aan u bevestigen en zo transparant mogelijk zijn over de stappen die we nemen tijdens het herstelproces, inclusief problemen of uitdagingen die de oplossing kunnen vertragen.
  • We zullen een open dialoog voeren om problemen te bespreken.
  • Door een beveiligingsprobleem of kwetsbaarheid te melden, geeft u ons het recht om uw melding voor welk doel dan ook te gebruiken.

Vragen

Vragen over dit beleid kunt u sturen naar security.vdr@ansell.com. We nodigen je ook uit om contact met ons op te nemen als je suggesties hebt om dit beleid te verbeteren.


Vulbaarheidsrapporten verzenden