Chính sách tiết lộ có trách nhiệm

Thông tin, dữ liệu và các quy trình hỗ trợ, hệ thống thông tin và mạng lưới là rất quan trọng đối với hoạt động kinh doanh của Bühler và khách hàng của chúng tôi cũng như các đối tác kinh doanh khác. Việc duy trì tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin có giá trị là một khía cạnh chính để thể hiện sự trân trọng đối với niềm tin của khách hàng và đối tác kinh doanh dành cho chúng tôi. Nếu quý vị phát hiện thấy các vấn đề bảo mật hoặc lỗ hổng bảo mật, chúng tôi sẽ rất vui nếu quý vị báo cho chúng tôi biết. Tài liệu sau đây mô tả khuôn khổ về cách xác định các báo cáo và tiết lộ có trách nhiệm như vậy đối với Bühler.

Báo cáo

Hãy báo cáo cho Đội Bảo mật Thông tin Bühler qua email security[at]buhlergroup.com.

Khi thông báo về các điểm yếu bảo mật, vui lòng đảm bảo các thông tin sau:

Loại lỗ hổng.
Mô tả chính xác về lỗ hổng bảo mật và các yếu tố/tài sản bị ảnh hưởng.
Mô tả rõ ràng về lý do tại sao quý vị cho rằng đó là vấn đề bảo mật hoặc lỗ hổng bảo mật.
Thông tin hữu ích bổ sung như các bước để tái tạo vấn đề, ảnh chụp màn hình, bằng chứng về văn bản script hay tương tự.

Hướng dẫn

Để khuyến khích hành động công khai có trách nhiệm, chúng tôi yêu cầu tất cả các nhà nghiên cứu tuân thủ các nguyên tắc chung sau:

Bühler có đủ thời gian (tối thiểu 60 ngày) để xác minh báo cáo và thực hiện một bản sửa lỗi. Không tiết lộ bất kỳ thông tin nào trong thời gian này cho bên thứ ba hoặc công chúng mà không có sự chấp thuận của chúng tôi.
Mọi hoạt động thử nghiệm không được làm ảnh hưởng đến các dịch vụ và sản phẩm của Bühler. Không chạy các cuộc tấn công/kiểm tra “từ chối dịch vụ”.
Không lấy, sửa đổi hoặc phá hủy bất kỳ thông tin nhạy cảm tiềm ẩn nào khi một lỗ hổng đã được xác định cho phép quý vị làm như vậy.
Không cung cấp báo cáo từ máy quét tự động mà không có xác minh thủ công về lỗ hổng bảo mật.

Nếu quý vị tuân thủ các nguyên tắc chung này, chúng tôi cam kết:

Không theo đuổi hoặc hỗ trợ bất kỳ hành động pháp lý nào liên quan đến nghiên cứu của quý vị.
Làm việc cùng với quý vị để hiểu và khắc phục vấn đề một cách nhanh chóng bao gồm xác nhận ban đầu về báo cáo của quý vị trong vòng 5 ngày kể từ ngày gửi.
Xem xét trả tiền thưởng tùy thuộc vào mức độ nghiêm trọng của lỗi được phát hiện và mức độ bị ảnh hưởng của thông tin/hệ thống/dịch vụ bị ảnh hưởng nhưng trong mọi trường hợp, nếu lỗi được phát hiện nằm trong phạm vi của chính sách này và nếu quý vị đồng ý, chúng tôi sẽ đưa quý vị vào bảng vinh danh dưới đây của chúng tôi. Điều này được áp dụng nếu quý vị là người đầu tiên báo cáo vấn đề và chúng tôi chưa biết về vấn đề đó. Xin lưu ý rằng nếu vấn đề đã xác định ảnh hưởng đến sản phẩm, phần mềm hoặc dịch vụ của bên thứ ba, chúng tôi sẽ không trả tiền thưởng nhưng chúng tôi rất sẵn lòng yêu cầu bên thứ ba xem xét trả tiền hoặc phần thưởng cho quý vị.

Phạm vi

Các lỗ hổng trong phạm vi

Bất kỳ vấn đề nào ảnh hưởng đến tính bảo mật hoặc tính toàn vẹn của thông tin theo cách dễ hiểu (từ đầu đến cuối) đều có khả năng nằm trong phạm vi. Ví dụ như:

Cross-Site Scripting (XSS)
Cross-Site Request Forgery (CSRF)
Flaw xác thực hoặc ủy quyền
SQL injection (SQLI)
Thực thi mã từ xa (RCE)
Bao gồm tệp cục bộ hoặc từ xa

Các lỗ hổng ngoài phạm vi

Những điều sau đây được coi là nằm ngoài phạm vi và sẽ không được thưởng:

Sự cố ngừng hoạt động do các cuộc tấn công "từ chối dịch vụ".
Các lỗi không ảnh hưởng đến tính bảo mật, tính toàn vẹn hoặc tính sẵn có của thông tin hoặc dịch vụ/tài sản liên quan hoặc không gây ra rủi ro bảo mật trực tiếp.
Rò rỉ thông tin không quan trọng.
Bản ghi DNS như SPF, MARC, DKIM.
Cross-Site Request Forgery đã đăng xuất.
Vấn đề liên quan đến chứng chỉ TLS/SSL chẳng hạn như mật mã yếu hoặc giao thức lỗi thời.
Các vấn đề chỉ có thể khai thác được với "clickjacking".
Các lỗ hổng bảo mật yêu cầu nạn nhân cài đặt phần mềm không chuẩn hoặc thực hiện các bước tích cực để khiến bản thân dễ bị tấn công.
Các lỗ hổng bao gồm/yêu cầu kỹ thuật xã hội của nhân viên hoặc khách hàng của chúng tôi.
Các cuộc tấn công yêu cầu quyền truy cập vật lý vào một thiết bị hoặc hệ thống.
Chuỗi tấn công giả thuyết trong đó một lỗ hổng được xác định chỉ cùng với một tình huống giả định/giả thuyết sẽ dẫn đến vấn đề bảo mật.
Thiếu cờ cookie trên cookie không nhạy cảm.
Thiếu tiêu đề bảo mật http không trực tiếp dẫn đến lỗ hổng bảo mật.
Sự hiện diện của biểu ngữ hoặc thông tin phiên bản trừ khi tương quan với phiên bản dễ bị tấn công.

Bảng vinh danh

Sau đây là danh sách những người đã báo cáo về các vấn đề bảo mật hợp lý và giúp chúng tôi đảm bảo an toàn hơn cho Bühler.

Công trạng	Ngày	Mô tả
Gokul Sudhakar	April 2023	Reported two issues in services of third party providers.
Shlok K	February 2023	Reported a security misconfiguration on a publicly exposed system.
Himanshu Sondhi	February 2023	Reported a vulnerability in a publicly exposed test system.
Athbi	January 2023	Reported two authentication/authorization issues on API endpoints of a web application.
Vishal Vishwakarma	January 2023	Reported a vulnerable component in a service of a third party provider.
Raju Basak+ Pagli	November 2022	Reported a valid vulnerability in a web application.
Bibek Shah	October 2022	Performed and reported subdomain takeover on two subdomains
Haidder Ali Chatha	Tháng 9 năm 2022	Đã báo cáo một số lỗ hổng bảo mật hợp lý trong một ứng dụng web
Shashank Sawant	Tháng 5 năm 2022	Đã báo cáo một lỗ hổng bảo mật hợp lý trong một ứng dụng web.
Huzefa Surme	Tháng 1 năm 2022	Đã báo cáo một lỗ hổng bảo mật hợp lý trong một ứng dụng web.
Rushabh Vyas	Tháng 1 năm 2022	Đã báo cáo một lỗ hổng bảo mật hợp lý trong một ứng dụng web.
Ravindra Dagale	Tháng 10 năm 2021	Đã báo cáo một thành phần lỗi thời, dễ bị tấn công trong một ứng dụng web.
Yunus Yildirim	Tháng 10 năm 2021	Đã báo cáo một lỗ hổng bảo mật hợp lý trong một ứng dụng web.
Mohammed Eldawody	Tháng 8 năm 2021	Báo cáo bốn phát hiện hợp lý với các giải thích được soạn thảo đầy đủ.

Cài đặt Cookie

Chúng tôi sử dụng cookie để giúp trang web của chúng tôi thân thiện hơn với người dùng và để không ngừng cải thiện trải nghiệm web của quý vị. Trong khi một vài cookie có thể thực sự cần thiết cho việc sử dụng trang web cũng như các tính năng của trang web, các cookie khác giúp chúng tôi cải thiện trải nghiệm trực tuyến của quý vị. Quý vị có thể cho phép tất cả cookie bằng cách nhấp chọn "Tôi cho phép" hoặc từ chối tất cả ngoại trừ các cookie thực sự cần thiết bằng cách nhấp chọn "Chỉ cho phép các cookie thực sự cần thiết". Để biết thêm thông tin về các cookie mà chúng tôi sử dụng và cách quản lý, xin vui lòng tham vấn Chính sách Cookie của chúng tôi.

Chính sách tiết lộ có trách nhiệm