ABAX Smart Connect: Sporing uten ekstra hardware for verktøy og maskiner

Les mer
ABAX
Priser

Retningslinjer for offentliggjøring av sårbarheter

Sikkerhet er av største viktighet for ABAX. Vi tar gjerne imot tilbakemeldinger fra sikkerhetsforskere og publikum for å forbedre sikkerheten til våre produkter og tjenester. ABAX-ledelsen setter stor pris på undersøkende arbeid med sikkerhetssårbarheter, og vi er forpliktet til å grundig undersøke og løse sikkerhetsproblemer.

Hvis du mener du har oppdaget en sårbarhet, personvernproblem, eksponerte data eller andre sikkerhetsproblemer i noen av våre produkter eller tjenester, vil vi gjerne høre fra deg.

Formål med dokumentet

Dette dokumentet definerer prosessen for å avsløre mulige sårbarheter knyttet til ABAX' produkter og tjenester, og skisserer trinnene for å rapportere sårbarheter til oss, hva vi forventer av deg, hva du kan forvente av oss, og til slutt anerkjennelse av personene som har bidratt til å sikre våre produkter og tjenester.

Hvis du mener du har funnet en sårbarhet i noen av våre produkter eller tjenester, vennligst rapporter det i samsvar med retningslinjene som er angitt i dette dokumentet.

Vi ber om at du ikke offentliggjør eller avslører sårbarheter før du har blitt varslet om at sårbarheten er utbedret. Hvis du samtykker, vil vi anerkjenne din innsats med å finne sårbarheten i avsnittet «Hall of fame» i dette dokumentet.

Målgruppe

Denne retningslinjen er ment for sikkerhetsforskere, 'white hat'-hackere eller andre som mener de har funnet en sårbarhet i noen av ABAX' produkter eller tjenester.

Omfang for retningslinjen

Alle mulige sårbarheter eller sikkerhetsproblemer knyttet til ABAX' produkter eller tjenester er innenfor omfanget av denne retningslinjen. Vennligst ikke avslør sårbarheter knyttet til systemer som administreres eller eies av tredjeparter.

Grunnregler

Forskere/etiske hackere må ikke gjøre:

  • Få tilgang til unødvendige mengder data. For eksempel er 2 eller 3 poster nok til å demonstrere de fleste sårbarheter (som en enumerering eller sårbarhet for direkte objekt referanse).

  • Bryte personvernet til ABAX-brukere, ansatte, kontraktører, systemer osv. For eksempel ved å dele, videredistribuere og/eller ikke sikre data som er hentet fra våre systemer på riktig måte.

  • Kommunisere sårbarheter eller tilhørende detaljer via metoder som ikke er beskrevet i denne retningslinjen, eller med andre enn Global IT.

  • Endre eller bruke data i våre systemer/tjenester som ikke er dine egne.

  • Forstyrre våre tjenester og/eller systemer.

  • Avsløre sårbarheter i ABAX-systemer til tredjeparter. Dette hindrer ikke varsling av en sårbarhet til tredjeparter som sårbarheten er direkte relevant for, for eksempel der sårbarheten som rapporteres er i et programvarebibliotek eller rammeverk – men detaljer om den spesifikke sårbarheten i ABAX må ikke refereres til i slike rapporter. Hvis du er usikker på statusen til en tredjepart du ønsker å sende varsel til, vennligst send en e-post til [email protected] for avklaring.

Forskere/etiske hackere må gjøre:

  • Alle hentede data slettes sikkert så snart de ikke lenger er nødvendige, og senest 1 måned etter at sårbarheten er løst, avhengig av hva som inntreffer først.

  • Spill etter reglene. Dette inkluderer å følge denne retningslinjen og eventuelle andre relevante avtaler.

  • Rapporter eventuelle sårbarheter du har oppdaget raskt, innen 1 måned etter at sårbarheten er oppdaget.

  • Bruk kun de offisielle kanalene for å diskutere sårbarhetsinformasjon med oss.

  • Utfør testing kun på systemer som er innenfor omfanget, og respekter systemer og aktiviteter som er utenfor omfanget.

Hvis du på noe tidspunkt er usikker på om handlingene du vurderer å utføre er akseptable, vennligst kontakt oss.

Testmetoder:

Vi ber deg avstå fra å bruke uautoriserte testmetoder. Disse metodene inkluderer, men er ikke begrenset til:

  • Nettverksangrep (DoS eller DDoS) eller andre tester som svekker tilgangen til eller skader et system eller data

  • Fysisk testing (f.eks. kontortilgang, åpne dører, sniking), sosial manipulering (f.eks. phishing, vishing) eller annen ikke-teknisk sårbarhetstesting

Juridiske forhold

Denne kontrollprosedyren er utformet for å være kompatibel med vanlig god praksis blant velmenende sårbarhetsoppdagelser. Den gir deg ikke tillatelse til å handle på en måte som er i strid med gjeldende lover eller forårsaker at ABAX bryter noen av sine juridiske forpliktelser.

Hvis du følger retningslinjene som er beskrevet i dette dokumentet, vil vi ikke forfølge eller støtte rettslige skritt relatert til dine rapporterte sårbarheter. Hvis rettslige skritt blir initiert av en tredjepart mot deg, og du har overholdt denne policyen, vil vi ta skritt for å gjøre det kjent at dine handlinger ble utført i samsvar med denne policyen.

Hvis du har bekymringer eller er usikker på om din sikkerhetsforskning er i samsvar med denne policyen, eller på annen måte ønsker å gi tilbakemeldinger eller forslag til denne kontrollprosedyren, vennligst kontakt oss på [email protected] før du går videre. Denne kontrollprosedyren vil utvikle seg over tid, og ditt bidrag vil bli verdsatt for å sikre at den er klar, komplett og fortsatt relevant.

Hvordan rapportere sårbarheter

Hvis du har oppdaget et problem som du mener er en sikkerhetssårbarhet innenfor omfanget, vennligst send en e-post til [email protected], med følgende informasjon:

  • systemet eller tjenesten der sårbarheten eksisterer.

  • en kort beskrivelse av sårbarhetens klasse (f.eks. «XSS-sårbarhet»). Vennligst unngå å inkludere detaljer som vil muliggjøre reproduksjon av problemet på dette stadiet. Detaljer vil bli etterspurt senere, over kryptert kommunikasjon.

  • den potensielle konsekvensen av utnyttelse.

Rapporter skal skrives i klare og enkle vendinger. Og være på engelsk, om mulig.

Vi vil deretter be om at rapportører, der det er mulig, gir et godartet (dvs. ikke-destruktivt) bevis på utnyttelse. Dette bidrar til å sikre at rapporten kan sorteres raskt og nøyaktig, samtidig som det reduserer sannsynligheten for dupliserte rapporter og/eller ondsinnet utnyttelse for visse sårbarhetsklasser. Vennligst sørg for at du ikke sender ditt bevis på utnyttelse i klartekst via e-post hvis sårbarheten fortsatt er utnyttbar. Vennligst også sørg for at alle bevis på utnyttelser er i samsvar med våre retningslinjer (ovenfor); hvis du er i tvil, vennligst send en e-post til [email protected] for råd.

Vennligst les dette dokumentet grundig før du rapporterer sårbarheter for å sikre at du forstår prosedyren og kan handle i samsvar med den.

PGP-kryptering

For å forhindre at kritisk informasjon faller i feil hender, ønsker vi, på forespørsel, at du sender den spesifikke informasjonen om sårbarheten via kryptert e-post. Vi vil be deg om å lage en detaljert beskrivelse av trinnene som er nødvendige for å reprodusere sårbarheten (proof of concept-skript eller skjermbilder er nyttige).

Du finner vår offentlige krypteringsnøkkel her www.abax.com/pgp-key.txt.

Hva du kan forvente fra ABAX

Som svar på din første e-post til [email protected] vil du motta en bekreftelse via e-post fra saksbehandlingssystemet.

Etter den første kontakten vil det interne sikkerhetsteamet arbeide med å triagere den rapporterte sårbarheten. Du kan forvente et svar innen 72 timer, med vår evaluering av rapporten og bekreftelse på om ytterligere informasjon er nødvendig. Eventuell ytterligere informasjon vil bli bedt om å sendes via OpenPGP-kryptering (vår offentlige krypteringsnøkkel er oppgitt i feltet ovenfor)

Fra dette punktet vil nødvendig utbedringsarbeid tildeles de aktuelle IT-teamene og/eller leverandørene. Prioritet for feilrettinger og/eller avbøtende tiltak vil bli tildelt basert på alvorlighetsgraden av konsekvensen og kompleksiteten ved utnyttelse. Sårbarhetsrapporter kan ta litt tid å sortere og/eller utbedre; du er velkommen til å spørre om status for prosessen, men vær tålmodig med oss.

Vårt sikkerhetsteam vil varsle deg når den rapporterte sårbarheten er løst (eller utbedringsarbeid er planlagt) og vil be deg bekrefte at løsningen dekker sårbarheten tilstrekkelig. Vi vil gi deg muligheten til å gi oss tilbakemeldinger om rapporteringsprosessen, samt sårbarhetsløsningen. Denne informasjonen vil bli brukt i streng konfidensialitet for å hjelpe oss med å forbedre måten vi håndterer rapporter og/eller utvikler systemer og løser sårbarheter på.

Hvis du ikke godtar disse vilkårene, vennligst ikke send oss noen bidrag, eller delta på annen måte i dette programmet.

Æresgalleri

Æresgalleri er der alle personene som har bidratt til å sikre våre produkter og tjenester (publisert med deres samtykke).

Du kan motta offentlig anerkjennelse hvis du er den første personen som rapporterer sårbarheten, sårbarheten er et gyldig sikkerhetsproblem, og du har overholdt disse retningslinjene.

Dessverre, på grunn av interne begrensninger, er det for tiden ikke mulig for oss å tilby et betalt bug bounty-program. ABAX-ledelsen ønsker imidlertid å uttrykke vår oppriktige takknemlighet til de som tar seg tid og anstrengelse til å undersøke og rapportere sikkerhetssårbarheter til oss i henhold til denne kontrollprosedyren.

Takk for innsatsen.

Finn alt du trenger å vite om bærekraft og styring i ABAX

Gå til ESG-ressurser