Chính sách tiết lộ có trách nhiệm

image

Chính sách tiết lộ có trách nhiệm

Thông tin, dữ liệu và các quy trình hỗ trợ, hệ thống thông tin và mạng lưới là rất quan trọng đối với hoạt động kinh doanh của Bühler và khách hàng của chúng tôi cũng như các đối tác kinh doanh khác. Việc duy trì tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin có giá trị là một khía cạnh chính để thể hiện sự trân trọng đối với niềm tin của khách hàng và đối tác kinh doanh dành cho chúng tôi. Nếu quý vị phát hiện thấy các vấn đề bảo mật hoặc lỗ hổng bảo mật, chúng tôi sẽ rất vui nếu quý vị báo cho chúng tôi biết. Tài liệu sau đây mô tả khuôn khổ về cách xác định các báo cáo và tiết lộ có trách nhiệm như vậy đối với Bühler.

+

Báo cáo

Nhóm Bảo mật Thông tin Bühler là đầu mối liên hệ cho các báo cáo như vậy và quý vị có thể liên hệ với chúng tôi tại security[at]buhlergroup.com.

Khi báo cáo các điểm yếu về bảo mật, vui lòng bao gồm các yếu tố sau:

  • Loại lỗ hổng.
  • Mô tả chính xác về lỗ hổng bảo mật và các yếu tố/tài sản bị ảnh hưởng.
  • Mô tả rõ ràng về lý do tại sao quý vị cho rằng đó là vấn đề bảo mật hoặc lỗ hổng bảo mật.
  • Thông tin hữu ích bổ sung như các bước để tái tạo vấn đề, ảnh chụp màn hình, bằng chứng về văn bản script hay tương tự.

Hướng dẫn

Để khuyến khích tiết lộ có trách nhiệm, chúng tôi yêu cầu tất cả các nhà nghiên cứu tuân thủ các nguyên tắc chung sau:
 

  • Bühler có đủ thời gian (tối thiểu 60 ngày) để xác minh báo cáo và thực hiện một bản sửa lỗi. Không tiết lộ bất kỳ thông tin nào trong thời gian này cho bên thứ ba hoặc công chúng mà không có sự chấp thuận của chúng tôi.
  • Mọi hoạt động thử nghiệm không được làm ảnh hưởng đến các dịch vụ và sản phẩm của Bühler. Không chạy các cuộc tấn công/kiểm tra “từ chối dịch vụ”.
  • Không lấy, sửa đổi hoặc phá hủy bất kỳ thông tin nhạy cảm tiềm ẩn nào khi một lỗ hổng đã được xác định cho phép quý vị làm như vậy.
  • Không cung cấp báo cáo từ máy quét tự động mà không có xác minh thủ công về lỗ hổng bảo mật.
     

Nếu quý vị tuân theo các nguyên tắc này, chúng tôi cam kết:
 

  • Không theo đuổi hoặc hỗ trợ bất kỳ hành động pháp lý nào liên quan đến nghiên cứu của quý vị.
  • Làm việc cùng với quý vị để hiểu và khắc phục vấn đề một cách nhanh chóng bao gồm xác nhận ban đầu về báo cáo của quý vị trong vòng 5 ngày kể từ ngày gửi.
  • Xem xét tiền thưởng tùy thuộc vào mức độ nghiêm trọng của phát hiện và thông tin/hệ thống/dịch vụ bị ảnh hưởng nhưng trong mọi trường hợp, nếu phát hiện nằm trong phạm vi của chính sách này và nếu quý vị muốn như vậy, chúng tôi sẽ thêm quý vị vào đại sảnh danh vọng của chúng tôi bên dưới. Điều này áp dụng nếu quý vị là người đầu tiên báo cáo vấn đề và chúng tôi chưa biết gì về vấn đề đó.

Phạm vi

Các lỗ hổng trong phạm vi

Bất kỳ vấn đề nào ảnh hưởng đến tính bảo mật hoặc tính toàn vẹn của thông tin theo cách dễ hiểu (từ đầu đến cuối) đều có khả năng nằm trong phạm vi. Ví dụ như:

  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Flaw xác thực hoặc ủy quyền
  • SQL injection (SQLI)
  • Thực thi mã từ xa (RCE)
  • Bao gồm tệp cục bộ hoặc từ xa

 

Các lỗ hổng ngoài phạm vi

Những điều sau đây được coi là nằm ngoài phạm vi và sẽ không được thưởng:

  • Sự cố ngừng hoạt động do các cuộc tấn công "từ chối dịch vụ".
  • Các lỗi không ảnh hưởng đến tính bảo mật, tính toàn vẹn hoặc tính sẵn có của thông tin hoặc dịch vụ/tài sản liên quan hoặc không gây ra rủi ro bảo mật trực tiếp.
  • Rò rỉ thông tin không quan trọng.
  • Bản ghi DNS như SPF, MARC, DKIM.
  • Cross-Site Request Forgery đã đăng xuất.
  • Vấn đề liên quan đến chứng chỉ TLS/SSL chẳng hạn như mật mã yếu hoặc giao thức lỗi thời.
  • Các vấn đề chỉ có thể khai thác được với "clickjacking".
  • Các lỗ hổng bảo mật yêu cầu nạn nhân cài đặt phần mềm không chuẩn hoặc thực hiện các bước tích cực để khiến bản thân dễ bị tấn công.
  • Các lỗ hổng bao gồm/yêu cầu kỹ thuật xã hội của nhân viên hoặc khách hàng của chúng tôi.
  • Các cuộc tấn công yêu cầu quyền truy cập vật lý vào một thiết bị hoặc hệ thống.
  • Chuỗi tấn công giả thuyết trong đó một lỗ hổng được xác định chỉ cùng với một tình huống giả định/giả thuyết sẽ dẫn đến vấn đề bảo mật.
  • Thiếu cờ cookie trên cookie không nhạy cảm.
  • Thiếu tiêu đề bảo mật http không trực tiếp dẫn đến lỗ hổng bảo mật.
  • Sự hiện diện của biểu ngữ hoặc thông tin phiên bản trừ khi tương quan với phiên bản dễ bị tấn công.

Đại sảnh danh vọng

Công trạng Ngày Mô tả

Raju Basak+ Pagli 

November 2022

Reported a valid vulnerability in a web application.

Bibek Shah

October 2022

Performed and reported subdomain takeover on two subdomains.

Shashank Sawant

May 2022

Reported valid vulnerabilities in two web applications.

Huzefa Surme

January 2022

Reported a valid vulnerability in a web application.

Rushabh Vyas

January 2022

Reported a valid vulnerability in a web application.

Ravindra Dagale

October 2021

Reported a vulnerable, outdated component in a web application.

Yunus Yildirim

October 2021

Reported a valid vulnerability in a web application.

Mohammed Eldawody

August 2021

Reported four valid findings with well documented explanations.