Politik zur Offenlegung von Schwachstellen

Einleitung

Ansell ist ein globaler Experte für Sicherheitslösungen und erfindet seit 125 Jahren den persönlichen Schutz neu. Wir bieten die fortschrittlichsten Schutzlösungen für Millionen von Menschen am Arbeitsplatz und zu Hause, um sie vor Gefahren zu bewahren. Know-how, innovative Produkte und hochwertigen Technologien von Ansell: Sorgenfreiheit wie keine andere Marke ihren Kunden bietet. Das Unternehmensleitbild von Ansell ist die vertrauenswürdige und zuverlässige Lieferung von innovativen Sicherheitslösungen zur Schaffung einer von Ansell geschützten Welt.

Diese Richtlinie soll Sicherheitsforschern klare Richtlinien für die Durchführung von Aktivitäten zur Aufdeckung von Sicherheitslücken an die Hand geben und unsere Präferenzen für die Übermittlung entdeckter Sicherheitslücken an uns vermitteln.

In dieser Richtlinie wird beschrieben, welche Systeme und Forschungsarten unter diese Richtlinie fallen, wie Sie uns Berichte über Sicherheitslücken übermitteln können und wie lange Sicherheitsforscher warten müssen, bevor sie eine Cybersicherheitslücke öffentlich machen.

Wir ermutigen Sie, sich mit uns in Verbindung zu setzen, um mögliche Schwachstellen in unseren Systemen zu melden.

Autorisierung

Wenn Sie sich nach bestem Wissen und Gewissen bemühen, diese Richtlinie während Ihrer Sicherheitsrecherche einzuhalten, betrachten wir Ihre Recherche als zulässig und arbeiten mit Ihnen zusammen, um etwaige Cybersicherheitsprobleme schnell zu verstehen und zu beheben, und Ansell wird im Zusammenhang mit Ihrer Recherche keine rechtlichen Schritte empfehlen oder verfolgen. Sollte ein Dritter aufgrund von Aktivitäten, die in Übereinstimmung mit dieser Richtlinie durchgeführt wurden, rechtliche Schritte gegen Sie einleiten, werden wir diese Genehmigung bekannt geben.

Bedienungsanleitungen

1. Melden Sie neue, einzigartige Cybersicherheitsschwachstellen: So können wir uns auf die Beseitigung der größten Risiken für uns und unsere Kunden konzentrieren. Übermitteln Sie nicht eine große Anzahl von Berichten mit geringer Qualität und geringem Risiko.
2. Sie dürfen keine Systeme kompromittieren oder Daten exfiltrieren: Verwenden Sie Exploits nur in dem Umfang, der notwendig ist, um das Vorhandensein einer Cybersicherheitslücke zu bestätigen. Sobald Sie genügend Informationen erhalten haben, die auf ein Sicherheitsproblem hindeuten, versuchen Sie bitte nicht, eine Persistenz herzustellen, interne Daten anzuvisieren, aufzuzählen oder zu exfiltrieren, einen Befehlszeilenzugang herzustellen oder eine Schwachstelle zu nutzen, um auf andere Systeme überzugreifen. Brechen Sie Ihren Test ab und benachrichtigen Sie ausschließlich Ansell, wenn Sie auf sensible Daten stoßen (einschließlich personenbezogener Daten, finanzieller Informationen oder geschützter Informationen oder Geschäftsgeheimnisse einer Partei).
3. Respektiere andere: Tu es nicht: die Privatsphäre von Ansell-Mitarbeitern oder -Kunden zu verletzen, auf Daten zuzugreifen oder zu versuchen, auf Daten zuzugreifen, die Ihnen nicht gehören, die Benutzerfreundlichkeit zu beeinträchtigen, nichttechnische Angriffe durchzuführen (z. B. Social Engineering, Phishing oder unbefugter Zugang zur Infrastruktur und zu Mitarbeitern von Ansell) oder Handlungen vorzunehmen, die Ansell oder seine Kunden negativ beeinflussen könnten, Produktionssysteme zu stören und Daten freizulegen, zu zerstören oder zu manipulieren.
4. Zusammenarbeit: Arbeiten Sie mit uns nur über unseren koordinierten Offenlegungsprozess zusammen, sobald eine Cybersicherheitsschwachstelle festgestellt wird. Die E-Mail-Adresse und das HTTPS-Webformular finden Sie unten.
5. Benachrichtigen Sie uns (über die unten aufgeführten Schritte), sobald Sie ein tatsächliches oder potenzielles Sicherheitsproblem in unserem System entdecken. Wir möchten diese Fragen umgehend klären und bitten darum, dass die rechtzeitige Mitteilung an uns nicht unterbrochen wird, während Sie weitere Nachforschungen anstellen, z. B. zu anderen Produkten.
6. Geben Sie uns eine angemessene Zeit, um das Problem zu lösen, bevor Sie es öffentlich machen. 90 Kalendertage ab Eingang bei uns (Software, einschließlich Cloud-basierter Systeme und mobiler Anwendungen) oder 120 Kalendertage ab Eingang bei uns (Hardware, Firmware und Wireless).

Öffentliche Bekanntgabe

Wie in den oben genannten Richtlinien dargelegt, bitten wir Sie, Ihren Bericht über Ansell nicht an andere weiterzugeben, bevor Sie ihn an uns übermittelt haben und während wir die vermutete Cybersicherheitslücke untersuchen und möglicherweise an einem Patch oder anderen Lösungen arbeiten. Bitte sprechen Sie uns auf alle Ansell-Probleme an, bevor Sie eine Meldung machen.

Wir werden Sie informieren, sobald wir unsere Ergebnisse nach der Behebung der Cyber-Sicherheitslücke abgeschlossen haben. Um diese Richtlinie einzuhalten, verlangen wir, dass Sie in Blogbeiträgen, öffentlichen Berichten, Präsentationen oder anderen öffentlichen Erklärungen zu diesem Thema neben Ihren Ergebnissen auch auf die Ergebnisse von Ansell verweisen. Abgesehen von einer möglichen Auflistung eines allgemeinen Zeitplans bezüglich der Schwachstelle, auf die Sie uns aufmerksam gemacht haben, werden wir ohne Ihre Zustimmung keine Informationen über Sie oder unsere Kommunikation mit Ihnen veröffentlichen. Wenn Sie es wünschen, werden wir Ihnen in unserer Beratung namentlich oder mit Ihrem Namen danken. Ansell schreibt Mitarbeitern oder Vertragspartnern von Ansell und seinen Tochtergesellschaften die von ihnen gefundenen Schwachstellen nicht gut.

Soweit in dieser Richtlinie auf eine "Schwachstelle" oder "Schwachstellen" Bezug genommen wird, sind damit potenzielle oder vermutete Cybersicherheitsschwachstellen gemeint, unabhängig davon, ob diese angegeben sind oder nicht, bis die Schwachstelle von Ansell untersucht und bestätigt wurde. Die Entscheidung, ob und wann eine Schwachstelle anerkannt wird, liegt in unserem Ermessen, und wir können das Programm jederzeit beenden. Ihre Tests dürfen nicht gegen Gesetze verstoßen.

Testmethoden

Die folgenden Prüfverfahren sind nicht zugelassen:

• Netzwerk-Denial-of-Service-Tests (DoS oder DDoS) oder andere Tests, die den Zugang zu einem System oder Daten beeinträchtigen oder beschädigen
• Physische Tests (z. B. Bürozugang, offene Türen, Abhören), Social Engineering (z. B. Phishing, Vishing) oder andere nichttechnische Schwachstellentests

Wirkungsbereich

Diese Richtlinie gilt für die folgenden Systeme und Dienste:

• https://ansell.com
• https://guardian.ansell.com
• https://ansellguardianchemical.com
• https://ansell.corvexconnected.com
• https://motion.inteliforz.com
• https://demo.motion.inteliforz.com
• Jede andere Subdomain von ansell.com

Alle Kundenanträge sind von dieser Politik ausgeschlossen.

Schwachstellen außerhalb des Geltungsbereichs

Wenn Sie Schwachstellen melden, berücksichtigen Sie bitte (1) das Angriffsszenario / die Ausnutzbarkeit und (2) die Sicherheitsauswirkungen des Fehlers. Die folgenden Themen werden als nicht in den Geltungsbereich fallend betrachtet:

• Clickjacking auf Seiten ohne sensible Aktionen
• Cross-Site Request Forgery (CSRF) auf nicht authentifizierten Formularen oder Formularen ohne sensible Aktionen
• Angriffe, die MITM oder physischen Zugriff auf das Gerät eines Benutzers erfordern
• Bisher bekannte anfällige Bibliotheken ohne funktionierenden Proof of Concept
• Comma Separated Values (CSV) Injection ohne Nachweis einer Schwachstelle.
• Fehlende bewährte Verfahren bei der SSL/TLS-Konfiguration.
• Jede Aktivität, die zu einer Unterbrechung unseres Dienstes führen könnte (DoS)
• Probleme mit Content-Spoofing und Textinjektion, ohne dass ein Angriffsvektor gezeigt wird/ohne dass HTML/CSS verändert werden kann
• Ratenbegrenzungs- oder Brute-Force-Probleme auf nicht authentifizierten Endpunkten
• Fehlende bewährte Praktiken in der Content Security Policy
• Fehlende Http-Only- oder Secure-Flags bei Cookies
• Fehlende bewährte E-Mail-Verfahren (ungültige, unvollständige oder fehlende SPF/DKIM/DMARC-Einträge usw.)
• Schwachstellen, die nur Benutzer von veralteten oder ungepatchten Browsern betreffen [weniger als 2 stabile Versionen hinter der letzten veröffentlichten stabilen Version]
• Offenlegung der Softwareversion / Probleme bei der Identifizierung von Bannern / Beschreibende Fehlermeldungen oder Header (z. B. Stack Traces, Anwendungs- oder Serverfehler)
• Tabnabbing
• Offene Weiterleitung - es sei denn, es kann eine zusätzliche Sicherheitsauswirkung nachgewiesen werden
• Probleme, die eine unwahrscheinliche Benutzerinteraktion erfordern

Alle oben nicht ausdrücklich aufgeführten Dienste, wie z. B. alle damit verbundenen Dienste, sind vom Anwendungsbereich ausgeschlossen und werden nicht zur Prüfung zugelassen. Darüber hinaus fallen Sicherheitslücken, die in Systemen unserer Zulieferer gefunden werden, nicht in den Geltungsbereich dieser Richtlinie und sollten dem Zulieferer gemäß seiner Offenlegungspolitik (falls vorhanden) direkt gemeldet werden. Wenn Sie sich nicht sicher sind, ob ein System in den Geltungsbereich fällt oder nicht, wenden Sie sich an security.vdr@ansell.com, bevor Sie mit Ihrer Recherche beginnen.

Auch wenn wir andere Systeme oder Dienste, die über das Internet zugänglich sind, entwickeln und pflegen, bitten wir darum, dass aktive Forschung und Tests nur an den Systemen und Diensten durchgeführt werden, die in den Anwendungsbereich dieses Dokuments fallen. Wenn es ein bestimmtes System gibt, das nicht in den Geltungsbereich fällt und das Ihrer Meinung nach getestet werden sollte, setzen Sie sich bitte mit uns in Verbindung, um es zu besprechen. Wir beabsichtigen, den Geltungsbereich dieser Politik im Laufe der Zeit zu erweitern.

Meldung einer Schwachstelle

Die im Rahmen dieser Richtlinie übermittelten Informationen werden ausschließlich zu Verteidigungszwecken verwendet, d. h. um Schwachstellen in der Cybersicherheit zu beseitigen oder zu beheben. Wir geben Ihren Namen oder Ihre Kontaktdaten nicht ohne Ihre ausdrückliche Zustimmung weiter.

Wir nehmen Schwachstellenmeldungen über das unten stehende Formular oder über security.vdr@ansell.comentgegen . Die Berichte können anonym eingereicht werden. Wenn Sie uns Ihre Kontaktdaten mitteilen, werden wir den Eingang Ihrer Meldung innerhalb von 3 Werktagen bestätigen.

Wir unterstützen keine PGP-verschlüsselten E-Mails. Für besonders sensible Informationen verwenden Sie bitte unser HTTPS-Webformular.

Was wir gerne von Ihnen sehen würden

Um uns bei der Einstufung und Priorisierung der Einsendungen zu helfen, empfehlen wir, dass Ihre Berichte:

• Beschreiben Sie den Ort, an dem die Cybersicherheitslücke entdeckt wurde, und die möglichen Auswirkungen einer Ausnutzung.
• Bieten Sie eine detaillierte Beschreibung der Schritte an, die erforderlich sind, um die Cybersicherheitslücke zu reproduzieren (Proof-of-Concept-Skripte oder Screenshots sind hilfreich), einschließlich (falls zutreffend):
  o Version der mobilen Anwendung
  o Gerätetyp, Betriebssystemversion, Browserversion
• Möglichst auf Englisch.

Was Sie von uns erwarten können

Wenn Sie sich dafür entscheiden, uns Ihre Kontaktdaten mitzuteilen, verpflichten wir uns, so offen und so schnell wie möglich mit Ihnen zu kommunizieren.

• Innerhalb von 5 Werktagen bestätigen wir Ihnen den Eingang Ihrer Meldung.
• Wir bestätigen Ihnen nach bestem Wissen und Gewissen das Vorhandensein der Cyber-Sicherheitslücke und informieren Sie so transparent wie möglich über die Schritte, die wir während des Behebungsprozesses unternehmen, einschließlich der Probleme oder Herausforderungen, die eine Lösung verzögern könnten.
• Wir werden einen offenen Dialog führen, um Fragen zu erörtern.
• Indem Sie einen Sicherheitsfehler oder eine Schwachstelle melden, geben Sie uns das Recht, Ihre Meldung für jeden Zweck zu verwenden.

Fragen

Fragen zu dieser Politik können an security.vdr@ansell.com gesendet werden. Wir laden Sie auch dazu ein, uns Vorschläge zur Verbesserung dieser Politik zu machen.