Hexagon-Programm苏珥Offenlegung冯Schwachstellen

Richtlinie

Sicherheit冯Kundendaten死去,死冯六边形Produkten verwaltet了,这是wesentliche unterstutzende Komponente冯六边形愿景和使命。我们begrußen窝Beitrag der externen礼俗社会毛皮Sicherheitsforschung苏珥Sicherheit unser Produkte。您要是der美浓信德,您Sicherheitsfehler unseren Produkten gefunden抗议,arbeiten我们要一个der Losung这本问题。

我们信德standig bemuht,爹妈祖茂堂verbessern。您要是问祖茂堂unser Sicherheit奥得河Vorschlage您,是不是在六角漏洞信息披露项目(VDP) verbessert了konnte,写作您爹妈要(information.security@m.investmentoffunds.com)。

Produkte im Geltungsbereich

书房里死冯六边形Produktteams ausgewahlten Produkte了Geltungsbereich成员。这在der Produktauswahlliste Produkte了des Meldeformulars aufgefuhrt。不aufgefuhrte Produkte信德vom VDP ausgeschlossen。Produkte,死亡不speziell aufgelistet信德,能帮weiterhin Schwachstellenberichte unt Verwendung der Kategorie„Allgemein”来自der Produktliste erhalten。死Berichte了bewertet,死allerdings auf der Grundlage冯„angemessenen Bemuhungen”。

Offenlegung

我们的Transparenz glauben Bezug auf unsere Sicherheit。阿莱gultigen Schwachstellen / Defekte entdeckt死去了,了总是在窝Dokumenten苏珥Produktveroffentlichung angegeben。

Berechtigung和verantwortungsbewusste Offenlegung

嗯死Erkennung和Meldung冯Schwachstellen祖茂堂fordern和死Benutzersicherheit祖erhohen咬我们您:

  • Teilen您爹妈das Sicherheitsproblem im细节麻省理工学院;
  • 请respektieren您unsere bestehenden Anwendungen。Spam-Formulare uber automatisierte Schwachstellenscanner信德不im Sinne静脉verantwortungsvollen Offenlegung;
  • 您爹妈ausreichend时间,嗯祖茂堂reagieren das问题,汪汪汪bevor您Informationen daruber veroffentlichen;
  • Ohne ausdruckliche Genehmigung des Eigentumers可以的意思改unsere Daten奥得河死Daten unser Benutzer zugreifen奥得河这张andern。Interagieren您努尔麻省理工学院古老而以Konten奥得河Testkonten祖茂堂Zwecken der Sicherheitsforschung;
  • Sollten您versehentlich auf Benutzerdaten stoßen, kontaktieren请您爹妈umgehend。您可以死Daten不aufrufen、andern speichern, sichern, ubertragen奥得河您zugreifen anderweitig再见。Jegliche lokalen Informationen信德sofort loschen, nachdem您死Schwachstelle六角gemeldet有;
  • Handeln您在gutem Glauben,嗯Verletzungen der Privatsphare,死Zerstorung冯Daten和死Unterbrechung奥得河Beeintrachtigung unser Dienstleistungen祖茂堂vermeiden (einschließlich拒绝服务)。
  • Halten您西奇ansonsten一个阿莱geltenden Gesetze。

Best-Practice-Berichtswesen

嗯sicherzustellen, dass国际卫生条例Bericht effektiv是不是moglich坚持,和嗯死Entwicklungsteams贝der Bewertung和Reproduktion des Fehlers祖unterstutzen empfehlen我们死folgenden Best-Practice-Tipps毛皮Fehlerberichterstattung死去。

  1. 《国际卫生条例》Bericht将aussagekraftiger,您要是Informationen超级死tatsachlichen和potenziellen Auswirkungen der Schwachstelle和Einzelheiten daruber,是不是您ausgenutzt了konnte, hinzufugen。
  2. Nennen您死的方法,麻省理工学院der您窝Fehler gefunden抗议,和Schritte死去,嗯ihn祖茂堂reproduzieren。
  3. 请reichen您您Ergebnisse往昔静脉,nachdem您sichergestellt抗议,dass国际卫生条例Fehler verifiziert坚持。
  4. 在英镑Einreichungen Sprache了bevorzugt。在我请reichen您窝Bericht jedoch欧什Muttersprache静脉,您要是他不ausreichend detailliert auf Englisch einreichen能帮。

Schwachstellen außerhalb des Geltungsbereichs

  • 在窝Geltungsbereich des VDP Folgende Punkte下降不:
  • Passwort、电子邮件和Kontorichtlinien,是不是z。b . Uberprufung der E-Mail-ID Ablauf des Reset-Links Passwortkomplexitat。
  • 大幅减退,模杯physischen Zugang祖茂堂unseren Produkten erfordert。
  • Fehlende Sicherheitsheader,死亡不direkt祖茂堂静脉Schwachstelle fuhren。
  • Fehlende最佳实践(我们benotigen窝Nachweis静脉Sicherheitslucke)。
  • Verwendung静脉bekanntermaßen anfalligen位于(ohne Nachweis der Ausnutzbarkeit)。
  • 奥得河扫描Berichte冯automatisierten工具。
  • Angriffe,贝denen der Angreifer死Erlaubnis有吵架,unsere应用祖茂堂uberlagern (z。b .利用奥得河Click-Jacking)。
  • Schwachstellen,死努尔Benutzer冯不unterstutzten Browsern奥得河Plattformen betreffen。
  • 社会工程冯六边形Mitarbeitern奥得河Auftragnehmern。
  • 阿莱physischen关切,对战特别奥得河Rechenzentren冯六角vorzugehen。
  • Vorhandensein进行Webformularen Autovervollstandigungsattributs再见。
  • Fehlende Cookie-Flags贝不sensiblen饼干。
  • 杰德Bericht der beschreibt,是不是男人herausfinden萤石,ob静脉bestimmter Benutzername,风景明信片bestimmte E-Mail-Adresse静脉Hexagon-Konto帽子。
  • 杰德Zugriff Daten汪汪汪,贝民主党der anvisierte Benutzer静脉gerootetes Mobilgerat verwenden弄乱。
  • 杰德Bericht超级动态链接库(DLL)劫持,ohne aufzuzeigen,是不是es neue Privilegien erhalt。
  • Keine Ratenbegrenzung, außer im Zusammenhang麻省理工学院der Authentifizierung。
  • Gerate (iOS、Android、桌面应用程序)的贝静脉Passwortanderung不getrennt。

这位Richtlinie伊der Einhaltung

我们的贝versehentlichen, gutglaubigen Verstoßen对战这Richtlinie keine zivilrechtlichen Schritte einleiten奥得河风景明信片Anzeige贝窝Strafverfolgungsbehorden erstatten。我们betrachten Aktivitaten,死im Einklang麻省理工学院这位Richtlinie durchgefuhrt了,als„autorisiertes”Verhalten gemaß民主党计算机欺诈和滥用行为。在民主党Maße民主党您Aktivitaten麻省理工学院bestimmten Einschrankungen在unser Nutzungsrichtlinie unvereinbar信德,verzichten我们这汪汪汪Einschrankungen毛皮窝begrenzten Zweck,死Sicherheitsforschung im车架这位Richtlinie祖茂堂ermoglichen。我们的意思尔Umgehung der technischen Maßnahmen,死我们zum舒兹在unserem der Anwendungen Geltungsbereich eingesetzt抗议,新一轮数字千禧年著作权法》(DMCA) verklagen。

国际卫生条例Bericht要是一张Schwachstelle进行Geschaftspartners冯·六角betrifft谨西奇六角das雷希特想干什么,您在我Meldung Gesamtheit, einschließlich我Identitat,一窝Geschaftspartner weiterzugeben,嗯das Testen和Beheben der gemeldeten Schwachstelle祖茂堂erleichtern。要是静脉Dritter rechtliche Schritte对战您einleitet您西奇一个六边形VDP gehalten抗议,将六角Schritte unternehmen,嗯darauf hinzuweisen, dass您Maßnahmen Ubereinstimmung麻省理工学院的这位Richtlinie durchgefuhrt wurden。

六角萤石您去eigenem Ermessen kostenlosen Zugriff auf Produkte冯六角gewahren死去。这位Zugriff dient ausschließlich der Ermoglichung我测试和萤石jederzeit麻省理工学院奥得河ohne vorherige Ankundigung widerrufen了。

六角负责derzeit凯文Bug赏金Award-Programm。阿莱Meldungen一个六角im车架des脆弱性披露计划erfolgen gutem Glauben和感兴趣的im besten der Allgemeinheit。