Programm zur Schwachstellenmeldung

Sicherheit gehört zu unseren Kernwerten bei JOIN, und wir schätzen den Beitrag von Sicherheitsforschern, die in gutem Glauben handeln, um uns dabei zu helfen, einen hohen Standard für die Sicherheit und Privatsphäre unserer Nutzer aufrechtzuerhalten. Dazu gehört die Förderung einer verantwortungsvollen Schwachstellenforschung und Offenlegung. Diese Richtlinie definiert, was wir unter gutem Glauben im Kontext des Auffindens und Meldens von Schwachstellen verstehen, und was Sie im Gegenzug von uns erwarten können.

Wenn Sie gemäß dieser Richtlinie mit uns zusammenarbeiten, können Sie von uns erwarten, dass wir:

• Safe Harbor auf Ihre Schwachstellenforschung im Rahmen dieser Richtlinie ausweiten;
• Mit Ihnen zusammenarbeiten, um Ihre Meldung zu verstehen und zu validieren, einschließlich einer zeitnahen ersten Antwort auf Ihre Einreichung;
• Entdeckte Schwachstellen zeitnah beheben.

Jede als im Geltungsbereich liegende Schwachstelle sollte an [email protected] gemeldet werden. Bitte halten Sie jede Kommunikation über gemeldete Schwachstellen zwischen Ihnen und JOIN vertraulich, bis wir Gelegenheit hatten, das Problem zu beheben. Übermitteln Sie ausführliche Meldungen mit reproduzierbaren Schritten. Wenn die Meldung nicht detailliert genug ist, um das Problem zu reproduzieren, kommt das Problem nicht für eine Belohnung in Frage.

Um die Schwachstellenforschung zu fördern und Verwechslungen zwischen legitimer Forschung und böswilligen Angriffen zu vermeiden, bitten wir Sie, in gutem Glauben zu versuchen:

• Die Regeln einzuhalten. Halten Sie diese Richtlinie und alle anderen relevanten Vereinbarungen ein, z. B. die Nutzungsbedingungen;
• Jede von Ihnen entdeckte Schwachstelle umgehend zu melden;
• Es zu vermeiden, die Privatsphäre anderer zu verletzen, unsere Systeme zu stören, Daten zu zerstören und/oder die Nutzererfahrung zu beeinträchtigen;
• Ausschließlich die offiziellen Kanäle zu nutzen, um mit uns über Schwachstelleninformationen zu sprechen;
• Die Vertraulichkeit der Details entdeckter Schwachstellen gemäß dem unten stehenden Abschnitt zur koordinierten Offenlegung zu wahren;
• Tests nur an Systemen innerhalb des Geltungsbereichs durchzuführen und Systeme und Aktivitäten außerhalb des Geltungsbereichs zu respektieren;
• Wenn eine Schwachstelle unbeabsichtigten Zugriff auf Nutzerdaten ermöglicht, etwa auf personenbezogene Daten (PII) oder proprietäre Informationen, müssen Sie die Tests einstellen, sofort eine Meldung einreichen und die Daten nicht speichern, übertragen oder anderweitig darauf zugreifen;
• Nur mit Konten zu interagieren, die Ihnen gehören, sofern Sie nicht die ausdrückliche Erlaubnis des Kontoinhabers haben;
• Nicht an Erpressung beteiligt zu sein;
• Klar und prägnant zu sein. Ein kurzer Proof-of-Concept-Link ist von unschätzbarem Wert;
• Niemals nicht-technische Angriffe (Social Engineering, Phishing, physische Angriffe) gegen unsere Mitarbeiter, Nutzer oder Infrastruktur zu versuchen;
• Unsere Daten oder die Daten unserer Nutzer ohne ausdrückliche Erlaubnis nicht einzusehen, zu ändern, zu speichern, zu übertragen oder anderweitig darauf zuzugreifen.

Wir können die Bedingungen jederzeit ändern oder dieses Programm beenden.

Wenn Sie Schwachstellenforschung gemäß dieser Richtlinie durchführen, betrachten wir die im Rahmen dieser Richtlinie durchgeführte Forschung als:

• Autorisiert im Hinblick auf alle anwendbaren Anti-Hacking-Gesetze, und wir werden keine rechtlichen Schritte gegen Sie wegen versehentlicher, gutgläubiger Verstöße gegen diese Richtlinie einleiten oder unterstützen;
• Autorisiert im Hinblick auf relevante Umgehungsschutzgesetze, und wir werden keine Klage gegen Sie wegen Umgehung technischer Schutzmaßnahmen erheben;
• Befreit von Einschränkungen unserer Acceptable-Use-Richtlinie, die die Durchführung von Sicherheitsforschung behindern würden, und wir verzichten in begrenztem Umfang auf diese Einschränkungen;
• Rechtmäßig, hilfreich für die allgemeine Sicherheit des Internets und in gutem Glauben durchgeführt.

Sie sind wie immer verpflichtet, alle anwendbaren Gesetze einzuhalten. Wenn ein Dritter rechtliche Schritte gegen Sie einleitet und Sie diese Richtlinie eingehalten haben, werden wir Schritte unternehmen, um bekannt zu machen, dass Ihre Handlungen im Einklang mit dieser Richtlinie erfolgten.

Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder unsicher sind, ob Ihre Sicherheitsforschung mit dieser Richtlinie übereinstimmt, schreiben Sie uns bitte unter [email protected], bevor Sie weiter vorgehen.

Dieses Programm gilt ausschließlich für Schwachstellen, die Systeme betreffen, die auf join.com gehostet werden.

Jedes Design- oder Implementierungsproblem, das die Vertraulichkeit oder Integrität von Nutzerdaten erheblich beeinträchtigt, wird wahrscheinlich als im Geltungsbereich liegend betrachtet. Häufige Beispiele sind:

• Cross-Site Scripting.
• Cross-Site Request Forgery.
• Mixed-Content-Skripte.
• Authentifizierungs- oder Autorisierungsfehler.
• Server-seitige Code-Execution-Fehler.
• Umgehung unseres Berechtigungsmodells.
• SQL-Injection.
• XML-External-Entity-Angriffe.

Diese Liste spiegelt die Forschung wider, die wir priorisieren, ist aber nicht erschöpfend. Jede Meldung, die eine mögliche Kompromittierung von Nutzerdaten betrifft, liegt wahrscheinlich im Geltungsbereich.

Die folgenden Punkte liegen ausdrücklich außerhalb des Geltungsbereichs dieses Programms:

• Richtlinien zum Vorhandensein/Fehlen von SPF/DMARC-Einträgen.
• Passwort-, E-Mail- und Kontorichtlinien wie E-Mail-ID-Verifizierung, Ablauf von Reset-Links und Passwortkomplexität.
• Logout-Cross-Site Request Forgery.
• Angriffe, die physischen Zugriff auf das Gerät eines Nutzers erfordern.
• XSS auf anderen Sites als join.com.
• Angriffe, die ein Ausnutzungstool erfordern, das über unsere App gelegt wird (z. B. Tapjacking).
• Schwachstellen, die erfordern, dass ein potenzielles Opfer nicht standardmäßige Software installiert oder anderweitig aktive Schritte unternimmt, um sich angreifbar zu machen.
• Schwachstellen, die Nutzer veralteter Browser oder Plattformen betreffen.
• Social Engineering unserer Mitarbeiter oder Auftragnehmer.
• Jegliche physischen Versuche gegen unsere Räumlichkeiten oder Rechenzentren.
• Vorhandensein des Autocomplete-Attributs in Webformularen.
• Fehlende Cookie-Flags bei nicht sensiblen Cookies.
• Jeder Datenzugriff, der voraussetzt, dass das Zielgerät des Nutzers ein gerootetes Mobilgerät ist.

Die folgenden Punkte liegen außerhalb des Geltungsbereichs unseres Programms, es sei denn, sie werden von einem Nachweis der Ausnutzbarkeit begleitet:

• Verwendung einer als anfällig bekannten Bibliothek.
• Fehlende Best Practices.
• Unsichere SSL/TLS-Cipher.
• Fehlende Sicherheits-Header, die nicht direkt zu einer Schwachstelle führen.
• Fehlende CSRF-Token, außer wenn nachgewiesen ist, dass eine sensible Nutzeraktion nicht durch ein Token geschützt ist.
• Host-Header-Injection.
• Meldungen aus automatisierten Tools oder Scans, die nicht manuell validiert wurden.
• Vorhandensein von Banner- oder Versionsinformationen, es sei denn, es handelt sich um eine anfällige Version.

Forscher dürfen Schwachstellendetails erst dann an Dritte weitergeben, nachdem die Schwachstelle behoben wurde und das Programm die Zustimmung erteilt hat. Wir werden mit Ihnen zusammenarbeiten, um basierend auf der Schwere und Komplexität des Problems einen angemessenen Zeitplan für die Offenlegung festzulegen.

Fragen zu diesem Programm? Unser Sicherheitsteam erreichen Sie unter [email protected].