Hexagon-Programm zur Offenlegung von Schwachstellen

Richtlinie  

Die Sicherheit von Kundendaten, die von Hexagons Produkten verwaltet werden, ist eine wesentliche unterstützende Komponente von Hexagons Vision und Mission. Wir begrüßen den Beitrag der externen Gemeinschaft für Sicherheitsforschung zur Sicherheit unserer Produkte. Wenn Sie der Meinung sind, dass Sie Sicherheitsfehler in unseren Produkten gefunden haben, arbeiten wir gerne an der Lösung dieses Problems.

Wir sind ständig bemüht, uns zu verbessern. Wenn Sie Fragen zu unserer Sicherheit oder Vorschläge haben, wie das Hexagon Vulnerability Disclosure Programme (VDP) verbessert werden könnte, schreiben Sie uns gerne (information.security@hexagon.com).

Produkte im Geltungsbereich

Die von Hexagons Produktteams ausgewählten Produkte werden in den Geltungsbereich aufgenommen. Diese Produkte werden in der Produktauswahlliste des Meldeformulars aufgeführt. Nicht aufgeführte Produkte sind vom VDP ausgeschlossen. Produkte, die nicht speziell aufgelistet sind, können weiterhin Schwachstellenberichte unter Verwendung der Kategorie „Allgemein“ aus der Produktliste erhalten. Die Berichte werden bewertet, dies allerdings auf der Grundlage von „angemessenen Bemühungen“.

Offenlegung

Wir glauben an Transparenz in Bezug auf unsere Sicherheit. Alle gültigen Schwachstellen/Defekte, die entdeckt werden, werden immer in den Dokumenten zur Produktveröffentlichung angegeben.

Berechtigung und verantwortungsbewusste Offenlegung

Um die Erkennung und Meldung von Schwachstellen zu fördern und die Benutzersicherheit zu erhöhen, bitten wir Sie:

  • Teilen Sie uns das Sicherheitsproblem im Detail mit;
  • Bitte respektieren Sie unsere bestehenden Anwendungen. Spam-Formulare über automatisierte Schwachstellenscanner sind nicht im Sinne einer verantwortungsvollen Offenlegung;
  • Geben Sie uns ausreichend Zeit, um auf das Problem zu reagieren, bevor Sie Informationen darüber veröffentlichen;
  • Ohne ausdrückliche Genehmigung des Eigentümers dürfen Sie nicht auf unsere Daten oder die Daten unserer Benutzer zugreifen oder diese ändern. Interagieren Sie nur mit Ihren eigenen Konten oder Testkonten zu Zwecken der Sicherheitsforschung;
  • Sollten Sie versehentlich auf Benutzerdaten stoßen, kontaktieren Sie uns bitte umgehend. Sie dürfen die Daten nicht aufrufen, ändern, speichern, sichern, übertragen oder anderweitig auf sie zugreifen. Jegliche lokalen Informationen sind sofort löschen, nachdem Sie die Schwachstelle an Hexagon gemeldet haben;
  • Handeln Sie in gutem Glauben, um Verletzungen der Privatsphäre, die Zerstörung von Daten und die Unterbrechung oder Beeinträchtigung unserer Dienstleistungen (einschließlich Denial-of-Service) zu vermeiden.
  • Halten Sie sich ansonsten an alle geltenden Gesetze.

Best-Practice-Berichtswesen

Um sicherzustellen, dass Ihr Bericht so effektiv wie möglich ist, und um die Entwicklungsteams bei der Bewertung und Reproduktion des Fehlers zu unterstützen, empfehlen wir die folgenden Best-Practice-Tipps für die Fehlerberichterstattung.

  1. Ihr Bericht wird aussagekräftiger, wenn Sie Informationen über die tatsächlichen und potenziellen Auswirkungen der Schwachstelle sowie Einzelheiten darüber, wie sie ausgenutzt werden könnte, hinzufügen.
  2. Nennen Sie die Methode, mit der Sie den Fehler gefunden haben, und die Schritte, um ihn zu reproduzieren.
  3. Bitte reichen Sie Ihre Ergebnisse erst ein, nachdem Sie sichergestellt haben, dass Ihr Fehler verifiziert ist.
  4. Einreichungen in englischer Sprache werden bevorzugt. Bitte reichen Sie den Bericht jedoch auch in Ihrer Muttersprache ein, wenn Sie ihn nicht ausreichend detailliert auf Englisch einreichen können.

Schwachstellen außerhalb des Geltungsbereichs

  • Folgende Punkte fallen nicht in den Geltungsbereich des VDP:
  • Passwort-, E-Mail- und Kontorichtlinien, wie z. B. Überprüfung der E-Mail-ID, Ablauf des Reset-Links, Passwortkomplexität.
  • Forschung, die einen physischen Zugang zu unseren Produkten erfordert.
  • Fehlende Sicherheitsheader, die nicht direkt zu einer Schwachstelle führen.
  • Fehlende Best Practices (wir benötigen den Nachweis einer Sicherheitslücke).
  • Verwendung einer bekanntermaßen anfälligen Bibliothek (ohne Nachweis der Ausnutzbarkeit).
  • Berichte von automatisierten Tools oder Scans.
  • Angriffe, bei denen der Angreifer die Erlaubnis haben muss, unsere App zu überlagern (z. B. Tap oder Click-Jacking).
  • Schwachstellen, die nur Benutzer von nicht unterstützten Browsern oder Plattformen betreffen.
  • Social Engineering von Hexagons Mitarbeitern oder Auftragnehmern.
  • Alle physischen Versuche, gegen Eigentum oder Rechenzentren von Hexagon vorzugehen.
  • Vorhandensein eines Autovervollständigungsattributs auf Webformularen.
  • Fehlende Cookie-Flags bei nicht sensiblen Cookies.
  • Jeder Bericht, der beschreibt, wie man herausfinden kann, ob ein bestimmter Benutzername, eine bestimmte E-Mail-Adresse ein Hexagon-Konto hat.
  • Jeder Zugriff auf Daten, bei dem der anvisierte Benutzer ein gerootetes Mobilgerät verwenden muss.
  • Jeder Bericht über Dynamic Link Library (DLL) Hijacking, ohne aufzuzeigen, wie es neue Privilegien erhält.
  • Keine Ratenbegrenzung, außer im Zusammenhang mit der Authentifizierung.
  • Geräte (iOS, Android, Desktop-Apps) werden bei einer Passwortänderung nicht getrennt.

Folgen der Einhaltung dieser Richtlinie

Wir werden bei versehentlichen, gutgläubigen Verstößen gegen diese Richtlinie keine zivilrechtlichen Schritte einleiten oder eine Anzeige bei den Strafverfolgungsbehörden erstatten. Wir betrachten Aktivitäten, die im Einklang mit dieser Richtlinie durchgeführt werden, als „autorisiertes“ Verhalten gemäß dem Computer Fraud and Abuse Act. In dem Maße, in dem Ihre Aktivitäten mit bestimmten Einschränkungen in unserer Nutzungsrichtlinie unvereinbar sind, verzichten wir auf diese Einschränkungen für den begrenzten Zweck, die Sicherheitsforschung im Rahmen dieser Richtlinie zu ermöglichen. Wir werden Sie nicht wegen der Umgehung der technischen Maßnahmen, die wir zum Schutz der Anwendungen in unserem Geltungsbereich eingesetzt haben, nach dem Digital Millennium Copyright Act (DMCA) verklagen.

Wenn Ihr Bericht eine Schwachstelle eines Geschäftspartners von Hexagon betrifft, behält sich Hexagon das Recht vor, Ihre Meldung in ihrer Gesamtheit, einschließlich Ihrer Identität, an den Geschäftspartner weiterzugeben, um das Testen und Beheben der gemeldeten Schwachstelle zu erleichtern. Wenn ein Dritter rechtliche Schritte gegen Sie einleitet und Sie sich an Hexagons VDP gehalten haben, wird Hexagon Schritte unternehmen, um darauf hinzuweisen, dass Ihre Maßnahmen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.

Hexagon kann Ihnen nach eigenem Ermessen kostenlosen Zugriff auf die Produkte von Hexagon gewähren. Dieser Zugriff dient ausschließlich der Ermöglichung Ihrer Tests und kann jederzeit mit oder ohne vorherige Ankündigung widerrufen werden.

Hexagon betreibt derzeit kein Bug Bounty Award-Programm. Alle Meldungen an Hexagon im Rahmen des Vulnerability Disclosure Programme erfolgen in gutem Glauben und im besten Interesse der Allgemeinheit.