Politica de dezvăluire a vulnerabilităților

Introducere

Ansell este un expert global în soluții de siguranță, care reinventează protecția personală de 125 de ani. Oferim cele mai avansate soluții de protecție pentru milioane de oameni la locul de muncă și acasă, ținându-i departe de pericol. Expertiza noastră, produsele inovatoare și tehnologia avansată le dau clienților liniștea și încrederea pe care nu le oferă nicio altă marcă. Misiunea Ansell este de a furniza soluții inovatoare de siguranță în mod fiabil și de încredere, creând o lume protejată de Ansell.

Această politică este menită să ofere cercetătorilor în domeniul securității orientări clare pentru desfășurarea activităților de descoperire a vulnerabilităților și să transmită preferințele noastre în ceea ce privește modul în care ne transmiteți vulnerabilitățile de securitate cibernetică descoperite.

Această politică descrie ce sisteme și ce tipuri de cercetare sunt acoperite de această politică, cum să ne trimiteți rapoarte de vulnerabilitate și cât timp le cerem cercetătorilor în domeniul securității să aștepte înainte de a face publică o vulnerabilitate de securitate cibernetică.

Vă încurajăm să ne contactați pentru a raporta orice potențială vulnerabilitate a sistemelor noastre.

Autorizare

Dacă depuneți un efort de bună credință pentru a respecta această politică în timpul cercetării dvs. de securitate, vom considera că cercetarea dvs. este autorizată și vom colabora cu dvs. pentru a înțelege și a rezolva rapid orice problemă de securitate cibernetică, iar Ansell nu va recomanda și nu va iniția acțiuni în justiție legate de cercetarea dvs. În cazul în care o terță parte inițiază o acțiune în justiție împotriva dvs. pentru activități desfășurate în conformitate cu această politică, vom face cunoscută această autorizație.

Orientări

1. Raportați vulnerabilități noi și unice în materie de securitate cibernetică: Acest lucru ne ajută să ne concentrăm pe remedierea celor mai importante riscuri pentru noi și pentru clienții noștri. Nu trimiteți un volum mare de rapoarte de calitate scăzută/cu risc scăzut.
2. Nu compromiteți sistemele și nu exfiltrați date: Folosiți exploatările numai în măsura în care este necesar pentru a confirma prezența unei vulnerabilități de securitate cibernetică. Odată ce ați obținut suficiente informații pentru a indica o problemă de securitate, vă rugăm să nu încercați să stabiliți persistența, să țintiți, să enumerați sau să exfiltrați date interne, să stabiliți accesul la linia de comandă, să utilizați o vulnerabilitate pentru a trece la alte sisteme. Întrerupeți testul și anunțați imediat numai Ansell, în cazul în care descoperiți date sensibile (inclusiv informații de identificare personală, informații financiare, informații de proprietate sau secrete comerciale ale oricărei părți).
3. Respectați-i pe ceilalți: Nu: să încălcați confidențialitatea oricărui angajat sau client Ansell, să accesați sau să încercați să accesați date care nu vă aparțin; să provocați orice degradare a experienței utilizatorului, să efectuați atacuri non-tehnice (de exemplu, inginerie socială, phishing sau acces neautorizat la infrastructura și angajații Ansell) sau să efectuați orice acțiuni care pot afecta negativ Ansell sau clienții săi; să provocați întreruperea sistemelor de producție și expunerea, distrugerea sau manipularea datelor.
4. Colaborați: Colaborați cu noi doar prin intermediul procesului nostru coordonat de dezvăluire imediat ce este identificată o vulnerabilitate de securitate cibernetică. Adresa de e-mail și formularul web HTTPS sunt disponibile mai jos.
5. Anunțați-ne (prin pașii de mai jos) imediat ce descoperiți o problemă de securitate reală sau potențială cu sistemul nostru. Dorim să rezolvăm prompt aceste probleme și vă rugăm să nu sacrificați informarea noastră în timp ce dumneavoastră efectuați cercetări suplimentare, de exemplu, cu privire la alte produse.
6. Oferiți-ne un interval de timp rezonabil pentru a rezolva problema înainte de a o face publică. 90 de zile calendaristice de la primirea de către noi (software, inclusiv sisteme bazate pe cloud și aplicații mobile) sau 120 de zile calendaristice de la primirea de către noi (hardware, firmware și wireless).

Dezvăluirea publică

Așa cum se prevede în liniile directoare de mai sus, pentru a respecta această politică, vă rugăm să vă abțineți de la a împărtăși raportul dvs. despre Ansell cu alte persoane înainte de a ni-l transmite și în timp ce investigăm vulnerabilitatea suspectată în materie de securitate cibernetică și lucrăm la un patch sau la alte soluții. Vă rugăm să ne semnalați orice problemă Ansell înainte de a face o dezvăluire.

Vă vom informa atunci când vom finaliza concluziile noastre, după ce vulnerabilitatea de securitate cibernetică va fi rezolvată. Pentru a respecta această politică, vă solicităm să faceți trimitere la constatările Ansell alături de constatările dumneavoastră în orice postări pe blog, rapoarte publice, prezentări sau orice alte declarații publice pe această temă. În afară de o eventuală enumerare a unei cronologii generale cu privire la vulnerabilitatea pe care ne-ați adus-o în atenție, nu vom publica informații despre dumneavoastră sau despre comunicările noastre cu dumneavoastră fără permisiunea dumneavoastră. Dacă doriți să fiți recunoscut, vă vom mulțumi pe nume sau pe nume de familie în cadrul comunicării noastre. Ansell nu creditează angajații sau contractorii Ansell și ai filialelor sale pentru vulnerabilitățile pe care le-au descoperit.

În măsura în care această politică se referă la o "vulnerabilitate" sau la "vulnerabilități", se intenționează și se înțelege că toate aceste referiri înseamnă vulnerabilități potențiale sau suspectate în materie de securitate cibernetică, indiferent dacă sunt declarate sau nu, până când o astfel de vulnerabilitate a fost investigată și confirmată de Ansell. Recunoașterea sau nu a dezvăluirii unei vulnerabilități și momentul recunoașterii este la discreția noastră, iar programul poate fi anulat în orice moment. Testele dumneavoastră nu trebuie să încalce nicio lege.

Metode de testare

Următoarele metode de testare nu sunt autorizate:

• Teste de negare a serviciului de rețea (DoS sau DDoS) sau alte teste care împiedică accesul la un sistem sau la date sau le deteriorează.
• Teste fizice (de exemplu, acces la birouri, uși deschise, urmărire), inginerie socială (de exemplu, phishing, vishing) sau orice alte teste de vulnerabilitate non-tehnice.

Scop

Această politică se aplică următoarelor sisteme și servicii:

• https://ansell.com
• https://guardian.ansell.com
• https://ansellguardianchemical.com
• https://motion.inteliforz.com
• https://demo.motion.inteliforz.com
• Orice alt subdomeniu din ansell.com

Toate cererile clienților sunt excluse din această politică.

Vulnerabilitățile din afara domeniului de aplicare

Atunci când raportați vulnerabilități, vă rugăm să luați în considerare (1) scenariul de atac/exploatabilitate și (2) impactul de securitate al bug-ului. Următoarele aspecte sunt considerate în afara domeniului de aplicare:

• Clickjacking pe pagini fără acțiuni sensibile
• Cross-Site Request Forgery (CSRF) pe formulare neautentificate sau formulare fără acțiuni sensibile
• Atacuri care necesită MITM sau acces fizic la dispozitivul unui utilizator
• Biblioteci vulnerabile cunoscute anterior fără o dovadă de concept funcțională
• Injectarea de valori separate prin virgulă (CSV) fără a demonstra o vulnerabilitate.
• Lipsesc cele mai bune practici în configurarea SSL/TLS.
• Orice activitate care ar putea duce la întreruperea serviciului nostru (DoS)
• Probleme de spoofing de conținut și injecție de text fără a arăta un vector de atac/fără a putea modifica HTML/CSS
• Probleme de limitare a ratei sau de forțare brută la punctele finale care nu sunt de autentificare
• Cele mai bune practici care lipsesc în politica de securitate a conținutului
• Lipsește indicatorul Http Only sau Secure pe cookie-uri
• Lipsa celor mai bune practici de e-mail (înregistrări SPF/DKIM/DMARC invalide, incomplete sau lipsă etc.).
• Vulnerabilități care afectează doar utilizatorii de browsere învechite sau nepotrivite [Mai puțin de 2 versiuni stabile în urma ultimei versiuni stabile lansate].
• Dezvăluirea versiunii de software / Probleme de identificare a bannerelor / Mesaje de eroare sau antet descriptive (de exemplu, urme de stivă, erori de aplicație sau de server)
• Tabnabbing
• Redirecționare deschisă - cu excepția cazului în care se poate demonstra un impact suplimentar asupra securității
• Probleme care necesită o interacțiune puțin probabilă cu utilizatorul

Orice serviciu care nu este enumerat în mod expres mai sus, cum ar fi orice serviciu conectat, este exclus din domeniul de aplicare și nu este autorizat pentru testare. În plus, vulnerabilitățile de securitate cibernetică găsite în sistemele furnizorilor noștri nu intră în domeniul de aplicare a acestei politici și trebuie raportate direct furnizorului, în conformitate cu politica de divulgare a acestora (dacă există). Dacă nu sunteți sigur dacă un sistem se încadrează sau nu în domeniul de aplicare, contactați-ne la security.vdr@ansell.com înainte de a începe cercetările.

Deși dezvoltăm și întreținem și alte sisteme sau servicii accesibile pe internet, solicităm ca cercetarea și testarea activă să se desfășoare numai pe sistemele și serviciile acoperite de domeniul de aplicare al prezentului document. Dacă există un anumit sistem care nu se află în domeniul de aplicare și pe care credeți că merită testat, vă rugăm să ne contactați pentru a discuta mai întâi despre acesta. Intenționăm să extindem domeniul de aplicare al acestei politici în timp.

Raportarea unei vulnerabilități

Informațiile transmise în cadrul acestei politici vor fi utilizate numai în scopuri defensive - pentru a atenua sau remedia vulnerabilitățile de securitate cibernetică. Nu vă vom comunica numele sau informațiile de contact fără permisiunea expresă.

Acceptăm rapoarte de vulnerabilitate la acest formular de mai jos sau prin intermediul security.vdr@ansell.com. Rapoartele pot fi transmise în mod anonim. Dacă ne comunicați datele de contact, vom confirma primirea raportului dumneavoastră în termen de 3 zile lucrătoare.

Nu acceptăm e-mailuri criptate cu PGP. Pentru informații deosebit de sensibile, trimiteți formularul nostru web HTTPS de mai jos.

Ce am dori să vedem de la dumneavoastră

Pentru a ne ajuta să triem și să prioritizăm propunerile, vă recomandăm ca rapoartele dumneavoastră:

• Descrieți locul în care a fost descoperită vulnerabilitatea de securitate cibernetică și impactul potențial al exploatării.
• Oferiți o descriere detaliată a pașilor necesari pentru a reproduce vulnerabilitatea de securitate cibernetică (sunt utile scripturile sau capturile de ecran de probă de concept), inclusiv (după caz):
  o Versiunea aplicației mobile
  o Tipul de dispozitiv, versiunea sistemului de operare, versiunea browserului
• Să fie în limba engleză, dacă este posibil.

La ce vă puteți aștepta de la noi

Atunci când alegeți să ne comunicați datele dumneavoastră de contact, ne angajăm să ne coordonăm cu dumneavoastră cât mai deschis și mai rapid posibil.

• În termen de 5 zile lucrătoare, vom confirma primirea raportului dumneavoastră.
• În măsura posibilităților noastre, vă vom confirma existența vulnerabilității de securitate cibernetică și vom fi cât se poate de transparenți în ceea ce privește pașii pe care îi facem în timpul procesului de remediere, inclusiv în ceea ce privește problemele sau provocările care pot întârzia rezolvarea problemei.
• Vom menține un dialog deschis pentru a discuta problemele.
• Prin raportarea unui bug de securitate sau a unei vulnerabilități, ne acordați dreptul de a utiliza raportul dumneavoastră în orice scop.

Întrebări

Întrebările referitoare la această politică pot fi trimise la adresa security.vdr@ansell.com. De asemenea, vă invităm să ne contactați pentru a ne transmite sugestii de îmbunătățire a acestei politici.