Splashtop Inc., ein führender Anbieter von Fernzugriffssoftware und -diensten, setzt sich für die Sicherheit unserer Kunden ein. Zu diesem Zweck formalisiert Splashtop jetzt unsere Richtlinie zum Akzeptieren von Schwachstellenberichten in unseren Produkten. Wir hoffen, eine offene Partnerschaft mit der Sicherheitsgemeinschaft zu fördern, und wir erkennen an, dass die Arbeit der Community wichtig ist, um weiterhin die Sicherheit aller unserer Kunden zu gewährleisten.

Wir haben diese Richtlinie entwickelt, um sowohl unsere Unternehmenswerte widerzuspiegeln als auch unsere rechtliche Verantwortung gegenüber gutgläubigen Sicherheitsforschern aufrechtzuerhalten, die uns ihr Fachwissen zur Verfügung stellen.

Rechtshaltung

Splashtop Inc. wird keine rechtlichen Schritte gegen Personen einleiten, die Schwachstellenberichte über unser Formular zur Meldung von Schwachstellen einreichen. Wir akzeptieren offen Berichte für die derzeit aufgeführten Splashtop-Produkte. Wir sind damit einverstanden, keine rechtlichen Schritte gegen Personen einzuleiten, die:

  • Systeme testen / Forschen, ohne Splashtop oder seinen Kunden Schaden zuzufügen
  • Nehmen bei der Offenlegung von Sicherheitslücken im Rahmen unseres Schwachstellentests teil
  • Wenden Sie sich sofort an Splashtop, wenn Sie versehentlich auf Benutzerdaten stoßen. Zeigen, ändern, speichern oder übertragen Sie die Daten nicht. Greifen Sie auch nicht auf andere Weise darauf zu, löschen Sie lokale Informationen sofort, wenn Sie die Sicherheitsanfälligkeit an Splashtop melden.
  • Halten Sie sich an die Gesetze ihres Standorts und des Standorts von Splashtop. Zum Beispiel kann ein Verstoß gegen Gesetze, die nur zu einer Forderung von Splashtop (und nicht zu einer strafrechtlichen Forderung) führen würden, akzeptabel sein, da Splashtop die Aktivität (Reverse Engineering oder Umgehung von Schutzmaßnahmen) zur Verbesserung seines Systems autorisiert.
  • Geben Sie keine Details zu Sicherheitslücken an die Öffentlichkeit weiter, bevor ein gegenseitig festgelegter Zeitrahmen abgelaufen ist

Präferenz-, Priorisierungs- und Akzeptanzkriterien

Wir werden die folgenden Kriterien verwenden, um Einsendungen zu priorisieren und zu prüfen.

Was wir von Ihnen sehen möchten:

  • Gut geschriebene Berichte in englischer Sprache haben eine höhere Wahrscheinlichkeit der Lösung.
  • Berichte, die Proof-of-Concept-Code enthalten, ermöglichen uns eine bessere Einordnung (Triage).
  • Berichte, die nur Absturzmeldungen oder andere automatisierte Ausgaben enthalten, erhalten möglicherweise eine niedrigere Priorität.
  • Berichte, die Produkte enthalten, die nicht in der ursprünglichen Bereichsliste enthalten sind, erhalten möglicherweise eine niedrigere Priorität.
  • Bitte geben Sie an, wie Sie den Bug, die Auswirkungen bzw. Folgen und mögliche Korrekturen, Lösungen gefunden haben.
  • Bitte teilen Sie uns mit, ob Sie mit uns zusammenarbeiten möchten, um eine Schwachstelle aufzudecken. Wir werden uns ehrlich bemühen, mit Ihnen zusammenzuarbeiten, wenn dies möglich ist.

Was Sie von uns erwarten können:

  • Sie erhalten innerhalb von 3 Werktagen nach Prüfung der Einreichung eine Rückmeldung.
  • Nach der Triage senden wir einen erwarteten Zeitplan und verpflichten uns, so transparent wie möglich über den Zeitplan für die Korrektur sowie über Probleme oder Herausforderungen zu sein, die ihn möglicherweise verlängern.
  • Ein offener Dialog zur Diskussion von Problemen.
  • Benachrichtigung, wenn alle Phasen der Schwachstellenanalyse abgeschlossen sind.

Wenn wir Kommunikationsprobleme oder andere Probleme nicht lösen können, kann Splashtop einen neutralen Dritten (wie CERT / CC, ICS-CERT oder die zuständige Aufsichtsbehörde) hinzuziehen, um zu ermitteln, wie am besten mit der Schwachstelle umgegangen werden kann.

So reichen Sie eine Schwachstelle ein

Geben Sie die folgenden Informationen ein, um einen Schwachstellenbericht an das Produktsicherheitsteam von Splashtop zu senden:

Versionshinweise

Version 1.0: Richtlinie zur verantwortungsvollen Offenlegung erstellt (12.05.2020)