Splashtop Inc., ein führender Anbieter von Software und Dienstleistungen für den Fernzugriff, setzt sich dafür ein, die Sicherheit unserer Kunden zu gewährleisten. Zu diesem Zweck formalisiert Splashtop jetzt unsere Richtlinie zur Annahme von Schwachstellenberichten in unseren Produkten. Wir hoffen, eine offene Partnerschaft mit der Sicherheitsgemeinschaft zu fördern, und wir sind uns bewusst, dass die Arbeit der Community wichtig ist, um weiterhin die Sicherheit all unserer Kunden zu gewährleisten.

Wir haben diese Richtlinie entwickelt, um sowohl unsere Unternehmenswerte widerzuspiegeln als auch um unserer rechtlichen Verantwortung gegenüber gutgläubigen Sicherheitsforschern gerecht zu werden, die uns ihr Fachwissen zur Verfügung stellen.

Rechtliche Haltung

Splashtop Inc. wird keine rechtlichen Schritte gegen Personen einleiten, die Berichte über Sicherheitslücken über unser Formular zur Meldung von Sicherheitslücken einreichen. Wir akzeptieren offen Berichte für die aktuell gelisteten Splashtop-Produkte. Wir stimmen zu, keine rechtlichen Schritte gegen Personen einzuleiten, die:

  • Testen von Systemen/Recherchen, ohne Splashtop oder seinen Kunden zu schaden
  • Durchführung von Schwachstellentests im Rahmen unseres Programms zur Offenlegung von Sicherheitslücken
  • Wenden Sie sich sofort an Splashtop, falls Sie versehentlich auf Benutzerdaten stoßen. Sie dürfen die Daten nicht einsehen, ändern, speichern, übertragen oder auf andere Weise darauf zugreifen und sofort alle lokalen Informationen löschen, wenn Sie Splashtop die Sicherheitsanfälligkeit melden.
  • Halten Sie sich an die Gesetze ihres Standorts und des Standorts von Splashtop. Zum Beispiel können Verstöße gegen Gesetze, die nur zu einer Klage von Splashtop führen würden (und keine strafrechtliche Klage), akzeptabel sein, da Splashtop die Aktivität (Reverse Engineering oder Umgehung von Schutzmaßnahmen) zur Verbesserung seines Systems genehmigt.
  • Unterlassen Sie es, Details zu Sicherheitslücken an die Öffentlichkeit weiterzugeben, bevor ein einvernehmlich festgelegter Zeitraum abläuft.

Präferenz-, Priorisierungs- und Akzeptanzkriterien

Wir werden die folgenden Kriterien verwenden, um Einreichungen zu priorisieren und zu selektieren.

Was wir gerne von Ihnen sehen würden:

  • Gut geschriebene Berichte auf Englisch haben eine höhere Auflösungschance.
  • Berichte, die Proof-of-Concept-Code enthalten, ermöglichen uns eine bessere Triage.
  • Berichte, die nur Absturz-Dumps oder andere automatisierte Toolausgaben enthalten, erhalten möglicherweise eine niedrigere Priorität.
  • Berichte, die Produkte enthalten, die nicht auf der ursprünglichen Bereichsliste stehen, erhalten möglicherweise eine niedrigere Priorität.
  • Bitte geben Sie an, wie Sie den Fehler gefunden haben, die Auswirkungen und mögliche Abhilfemaßnahmen.
  • Bitte teilen Sie uns mit, ob Sie mit uns zusammenarbeiten möchten, um eine Sicherheitslücke aufzudecken. Wir werden uns ehrlich darum bemühen, mit Ihnen zusammenzuarbeiten, wenn dies möglich ist, Sicherheitslücken aufzudecken.

Was Sie von uns erwarten können:

  • Sie erhalten innerhalb von 3 Werktagen nach Prüfung der Einreichung Feedback zu Ihrem Beitrag.
  • Nach der Triage senden wir einen voraussichtlichen Zeitplan und verpflichten uns, so transparent wie möglich über den Zeitplan für die Behebung sowie über Probleme oder Herausforderungen zu sein, die ihn verlängern könnten.
  • Ein offener Dialog, um Probleme zu besprechen.
  • Benachrichtigung, wenn die Schwachstellenanalyse jede Phase unserer Überprüfung abgeschlossen hat.

Wenn wir Kommunikationsprobleme oder andere Probleme nicht lösen können, kann Splashtop eine neutrale dritte Partei (wie CERT/CC, ICS-CERT oder die zuständige Aufsichtsbehörde) hinzuziehen, um zu bestimmen, wie mit der Sicherheitsanfälligkeit am besten umgegangen werden kann.

Wie man eine Sicherheitslücke einreicht

Um einen Schwachstellenbericht an das Produktsicherheitsteam von Splashtop einzureichen, geben Sie bitte die folgenden Informationen ein:

Dieses Dokument wurde ursprünglich auf Englisch verfasst und kann in verschiedene Sprachen übersetzt worden sein. Im Falle von Konflikten zwischen der englischen Version und ihrer Übersetzung ist immer die englische Version maßgebend.

Versionshinweise

Version1.1:: Haftungsausschluss für Konflikte zwischen der englischen Version und Übersetzungen hinzugefügt.(05/05/2021)

Richtlinie zur1.0: Erstellung von Versionen und verantwortungsvoller Offenlegung(05/12/2020)