Policy för Offentliggörande av Sårbarheter

Säkerhet är av yttersta vikt för ABAX. Vi välkomnar feedback från säkerhetsforskare och allmänheten för att förbättra säkerheten för våra produkter och tjänster. ABAX:s ledning uppskattar stort undersökande arbete kring säkerhetsbrister och vi är fast beslutna att grundligt undersöka och lösa säkerhetsproblem.

Om du tror att du har upptäckt en sårbarhet, ett integritetsproblem, exponerad data eller andra säkerhetsproblem i någon av våra produkter eller tjänster, vill vi höra från dig.

Syftet med dokumentet

Detta dokument definierar processen för att rapportera möjliga sårbarheter relaterade till ABAX:s produkter och tjänster, och beskriver stegen för att rapportera sårbarheter till oss, vad vi förväntar oss av dig, vad du kan förvänta dig av oss, och slutligen ett tack till de personer som har hjälpt till att säkra våra produkter och tjänster.

Om du tror att du har hittat en sårbarhet i någon av våra produkter eller tjänster, vänligen rapportera den i enlighet med riktlinjerna i detta dokument.

Vi ber dig att inte offentliggöra eller avslöja några sårbarheter förrän du har informerats om att sårbarheten har åtgärdats. Om du samtycker kommer vi att erkänna dina insatser för att hitta sårbarheten i avsnittet "Hall of fame" i detta dokument.

Målgrupp

Denna policy är avsedd för alla säkerhetsforskare, etiska hackare (white hat hackers) eller någon annan som tror sig ha hittat en sårbarhet i någon av ABAX:s produkter eller tjänster.

Policyens omfattning

Alla möjliga sårbarheter eller säkerhetsproblem relaterade till ABAX-produkter eller -tjänster faller inom ramen för denna policy. Vänligen avslöja inte sårbarheter relaterade till system som hanteras eller ägs av tredje parter.

Grundregler

Forskare/Etiska hackare får inte göra:

• Åtkomst till onödiga mängder data. Till exempel räcker 2 eller 3 poster för att demonstrera de flesta sårbarheter (som en uppräknings- eller direkt objektreferenssårbarhet).

• Kränka integriteten för ABAX-användare, personal, entreprenörer, system etc. Till exempel genom att dela, vidareutdela och/eller inte korrekt säkra data som hämtats från våra system.

• Kommunicera sårbarheter eller relaterade detaljer via metoder som inte beskrivs i denna policy eller med någon annan än Global IT.

• Ändra eller använd data i våra system/tjänster som inte är dina egna.

• Störa våra tjänster och/eller system.

• Avslöja några sårbarheter i ABAX-systemet för tredje parter. Detta hindrar inte meddelande om en sårbarhet till tredje parter som sårbarheten är direkt relevant för, till exempel där den rapporterade sårbarheten finns i ett programvarubibliotek eller ramverk – men detaljer om den specifika sårbarheten hos ABAX får inte refereras i sådana rapporter. Om du är osäker på statusen för en tredje part som du vill skicka ett meddelande till, vänligen mejla [email protected] för förtydligande.

Forskare/Etiska hackare måste göra:

• All hämtad data raderas säkert så snart den inte längre behövs och som mest 1 månad efter att sårbarheten har lösts, beroende på vilket som inträffar först.

• Följ reglerna. Detta inkluderar att följa denna policy och alla andra relevanta avtal.

• Rapportera alla sårbarheter du har upptäckt omgående, inom 1 månad efter att sårbarheten upptäckts.

• Använd endast de officiella kanalerna för att diskutera sårbarhetsinformation med oss.

• Utför endast testning på system som omfattas av policyn, och respektera system och aktiviteter som ligger utanför omfattningen.

Om du vid något tillfälle är osäker på om de åtgärder du funderar på att vidta är acceptabla, vänligen kontakta oss.

Testmetoder:

Vi ber dig att avstå från att använda obehöriga testmetoder. Dessa metoder inkluderar, men är inte begränsade till:

• Tester av nätverksöverbelastning (DoS eller DDoS) eller andra tester som försämrar åtkomst till eller skadar ett system eller data

• Fysisk testning (t.ex. tillgång till kontor, öppna dörrar, tailgating), social ingenjörskonst (t.ex. nätfiske, telefonfiske) eller annan icke-teknisk sårbarhetstestning

Juridiska aspekter

Denna kontrollprocedur är utformad för att vara förenlig med god praxis för välmenande upptäckt av sårbarheter. Den ger dig inte tillstånd att agera på ett sätt som är oförenligt med tillämpliga lagar eller att orsaka att ABAX bryter mot någon av sina juridiska skyldigheter.

Om du följer riktlinjerna i detta dokument kommer vi inte att vidta eller stödja några rättsliga åtgärder relaterade till dina rapporterade sårbarheter. Om rättsliga åtgärder initieras av en tredje part mot dig och du har följt denna policy, kommer vi att vidta åtgärder för att klargöra att dina handlingar utfördes i enlighet med denna policy.

Om du har funderingar eller är osäker på om din säkerhetsforskning är förenlig med denna policy, eller om du på annat sätt vill ge feedback eller förslag på denna kontrollprocedur, vänligen kontakta oss på [email protected] innan du går vidare. Denna kontrollprocedur kommer att utvecklas över tid och din input kommer att värderas för att säkerställa att den är tydlig, komplett och förblir relevant.

Hur man rapporterar sårbarheter

Om du har upptäckt ett problem som du anser är en säkerhetsbrist inom ramen för vår policy, vänligen skicka ett e-postmeddelande till [email protected] med följande information:

• Systemet eller tjänsten där sårbarheten finns.

• En kort beskrivning av sårbarhetens klass (t.ex. "XSS-sårbarhet"). Undvik att inkludera detaljer som skulle möjliggöra reproduktion av problemet i detta skede. Detaljer kommer att begäras senare, via krypterad kommunikation.

• Den potentiella effekten av exploatering.

Rapporter bör skrivas i tydliga och enkla termer. Och var på engelska, om möjligt.

Vi kommer sedan att be rapportörer att tillhandahålla ett ofarligt (dvs. icke-destruktivt) bevis på exploatering närhelst det är möjligt. Detta hjälper till att säkerställa att rapporten kan prioriteras snabbt och korrekt, samtidigt som det minskar risken för dubblettrapporter och/eller skadlig exploatering för vissa sårbarhetsklasser. Se till att du inte skickar ditt bevis på exploatering i klartext via e-post om sårbarheten fortfarande är exploaterbar. Se också till att alla bevis på exploatering är i enlighet med våra riktlinjer (ovan). Om du är osäker, vänligen skicka ett e-postmeddelande till [email protected] för rådgivning.

Vänligen läs detta dokument fullständigt innan du rapporterar några sårbarheter för att säkerställa att du förstår proceduren och kan agera i enlighet med den.

PGP-kryptering

För att förhindra att kritisk information hamnar i fel händer, önskar vi, på begäran, att du skickar den specifika informationen om sårbarheten via krypterad e-post. Vi kommer att be dig att skapa en detaljerad beskrivning av de steg som behövs för att reproducera sårbarheten (proof-of-concept-skript eller skärmdumpar är till hjälp).

Du hittar vår offentliga krypteringsnyckel här: www.abax.com/pgp-key.txt.

Vad du kan förvänta dig från ABAX

Som svar på ditt första e-postmeddelande till [email protected] kommer du att få ett bekräftelse-e-postmeddelande från ärendehanteringssystemet.

Efter den första kontakten kommer det interna säkerhetsteamet att arbeta med att prioritera den rapporterade sårbarheten. Du kan förvänta dig ett svar inom 72 timmar, med vår utvärdering av rapporten och bekräftelse på om ytterligare information krävs. All ytterligare information som krävs kommer att begäras skickad via OpenPGP-kryptering (vår offentliga krypteringsnyckel finns i det ovan nämnda fältet)

Från denna tidpunkt kommer nödvändigt åtgärdsarbete att tilldelas lämpliga IT-team och/eller leverantörer. Prioritet för buggfixar och/eller mildrande åtgärder kommer att tilldelas baserat på hur allvarlig påverkan är och hur komplex exploateringen är. Rapporter om sårbarheter kan ta lite tid att prioritera och/eller åtgärda, du är välkommen att fråga om statusen för processen, men ha tålamod med oss.

Vårt säkerhetsteam kommer att meddela dig när den rapporterade sårbarheten är löst (eller när åtgärdsarbetet är schemalagt) och kommer att be dig bekräfta att lösningen täcker sårbarheten tillräckligt. Vi kommer att erbjuda dig möjlighet att ge oss feedback om rapporteringsprocessen samt sårbarhetslösningen. Denna information kommer att användas i strikt förtroende för att hjälpa oss att förbättra hur vi hanterar rapporter och/eller utvecklar system och löser sårbarheter.

Om du inte godkänner dessa villkor, vänligen skicka oss inga bidrag eller delta på annat sätt i detta program.

Hedershall

Hedershallen är där alla de personer som har hjälpt till att säkra våra produkter och tjänster finns (publicerade med deras samtycke).

Du kan få offentligt erkännande om du är den första personen att rapportera sårbarheten, sårbarheten är ett giltigt säkerhetsproblem, och du har följt dessa riktlinjer.

Tyvärr är det, på grund av interna begränsningar, för närvarande inte möjligt för oss att erbjuda ett betalt bug bounty-program. ABAX:s ledning vill dock uttrycka vår uppriktiga uppskattning till dem som tar sig tid och ansträngning att undersöka och rapportera säkerhetsbrister till oss enligt denna kontrollprocedur.

Tack för din insats.