Richtlinie zur Offenlegung von Sicherheitslücken

Einleitung

Ruuvi Innovations ist bestrebt, die Sicherheit der Öffentlichkeit durch den Schutz ihrer Informationen zu gewährleisten. Diese Richtlinie soll Sicherheitsforschern klare Leitlinien für die Durchführung von Aktivitäten zur Entdeckung von Sicherheitslücken geben und unsere Präferenzen vermitteln, wie entdeckte Sicherheitslücken an uns übermittelt werden sollen.

Diese Richtlinie beschreibt, welche Systeme und Arten von Forschung unter diese Richtlinie fallen, wie du uns Berichte über Sicherheitslücken senden kannst und wie lange wir Sicherheitsforscher bitten zu warten, bevor sie Sicherheitslücken öffentlich bekannt geben.

Wir ermutigen dich, uns zu kontaktieren, um potenzielle Sicherheitslücken in unseren Systemen zu melden.

Autorisierung

Wenn du dich nach bestem Wissen und Gewissen bemühst, diese Richtlinie während deiner Sicherheitsforschung einzuhalten, werden wir deine Forschung als autorisiert betrachten, wir werden mit dir zusammenarbeiten, um das Problem schnell zu verstehen und zu lösen, und Ruuvi Innovations wird keine rechtlichen Schritte im Zusammenhang mit deiner Forschung empfehlen oder verfolgen. Sollten rechtliche Schritte von einem Dritten gegen dich eingeleitet werden für Aktivitäten, die in Übereinstimmung mit dieser Richtlinie durchgeführt wurden, werden wir diese Autorisierung bekannt geben.

Richtlinien

Im Rahmen dieser Richtlinie bedeutet „Forschung“ Aktivitäten, bei denen du:

• Uns so schnell wie möglich benachrichtigst, nachdem du ein tatsächliches oder potenzielles Sicherheitsproblem entdeckt hast.
• Alle Anstrengungen unternimmst, um Verletzungen der Privatsphäre, Beeinträchtigungen der Benutzererfahrung, Störungen von Produktionssystemen und Zerstörung oder Manipulation von Daten zu vermeiden.
• Exploits nur in dem Maße verwendest, wie es notwendig ist, um das Vorhandensein einer Sicherheitslücke zu bestätigen. Verwende keinen Exploit, um Daten zu kompromittieren oder zu exfiltrieren, Befehlszeilenzugriff und/oder Persistenz zu etablieren oder den Exploit zu nutzen, um auf andere Systeme zu wechseln.
• Uns eine angemessene Zeit gibst, um das Problem zu lösen, bevor du es öffentlich bekannt gibst.
• Keine große Anzahl minderwertiger Berichte einreichst.

Sobald du festgestellt hast, dass eine Sicherheitslücke existiert, oder auf sensible Daten stößt (einschließlich personenbezogener Daten, Finanzinformationen oder geschützter Informationen oder Geschäftsgeheimnisse einer Partei), musst du deinen Test stoppen, uns sofort benachrichtigen und diese Daten niemandem sonst offenlegen.

Testmethoden

Die folgenden Testmethoden sind nicht autorisiert:

• Netzwerk-Denial-of-Service-Tests (DoS oder DDoS) oder andere Tests, die den Zugriff auf ein System oder Daten beeinträchtigen oder beschädigen
• Physische Tests (z. B. Bürozugang, offene Türen, Tailgating), Social Engineering (z. B. Phishing, Vishing) oder andere nichttechnische Tests auf Sicherheitslücken

Geltungsbereich

Diese Richtlinie gilt für die folgenden Systeme und Dienste:

• *.ruuvi.com
• ruuvi.com
• Ruuvi Station-Anwendung
• Ruuvi Firmware Version ^2.5.9
• Ruuvi Firmware Version ^3.29.0
• Quellcode unter
  • https://github.com/ruuvi/com.ruuvi.station
  • https://github.com/ruuvi/com.ruuvi.station.ios
  • https://github.com/ruuvi/ruuvi.firmware.c
  • https://github.com/ruuvi/ruuvi.gateway_esp.c
  • https://github.com/ruuvi/ruuvi.gateway_nrf.c
  • Jede von Ruuvi gepflegte Abhängigkeit der oben genannten Projekte

Jeder Dienst, der oben nicht ausdrücklich aufgeführt ist, wie z. B. verbundene Dienste, ist vom Geltungsbereich ausgeschlossen und nicht zum Testen autorisiert. Darüber hinaus fallen Sicherheitslücken, die in Systemen unserer Anbieter gefunden werden, nicht in den Geltungsbereich dieser Richtlinie und sollten gemäß deren Offenlegungsrichtlinie (falls vorhanden) direkt an den Anbieter gemeldet werden. Wenn du dir nicht sicher bist, ob ein System im Geltungsbereich liegt oder nicht, kontaktiere uns unter security@ruuvi.com, bevor du mit deiner Forschung beginnst.

Obwohl wir andere über das Internet zugängliche Systeme oder Dienste entwickeln und pflegen, bitten wir darum, dass aktive Forschung und Tests nur an den Systemen und Diensten durchgeführt werden, die vom Geltungsbereich dieses Dokuments abgedeckt sind. Wenn es ein bestimmtes System gibt, das nicht im Geltungsbereich liegt und das du für testenswert hältst, kontaktiere uns bitte zuerst, um es zu besprechen. Wir werden den Geltungsbereich dieser Richtlinie im Laufe der Zeit erweitern.

Wir bieten derzeit keine Bug Bounties an.

Meldung einer Sicherheitslücke

Informationen, die im Rahmen dieser Richtlinie übermittelt werden, werden ausschließlich zu Verteidigungszwecken verwendet – um Sicherheitslücken zu mindern oder zu beheben. Wenn deine Erkenntnisse neu entdeckte Sicherheitslücken enthalten, die alle Nutzer eines Produkts oder Dienstes betreffen und nicht nur Ruuvi Innovations, können wir deinen Bericht mit dem finnischen Nationalen Cybersicherheitszentrum teilen, wo er im Rahmen ihres koordinierten Prozesses zur Offenlegung von Sicherheitslücken behandelt wird. Wir werden deinen Namen oder deine Kontaktinformationen nicht ohne ausdrückliche Erlaubnis weitergeben.

Wir akzeptieren Berichte über Sicherheitslücken unter security@ruuvi.com Berichte können anonym eingereicht werden. Wenn du Kontaktinformationen angibst, werden wir den Erhalt deines Berichts innerhalb von 3 Werktagen bestätigen.

Wir unterstützen keine PGP-verschlüsselten E-Mails.

Durch die Einreichung einer Sicherheitslücke bestätigst du, dass du keine Erwartung auf Zahlung hast und dass du ausdrücklich auf zukünftige Zahlungsansprüche gegen Ruuvi Innovations im Zusammenhang mit deiner Einreichung verzichtest.

Was wir von dir erwarten

Um uns bei der Priorisierung und Bearbeitung von Einreichungen zu helfen, empfehlen wir, dass deine Berichte:

• Den Ort beschreiben, an dem die Sicherheitslücke entdeckt wurde, und die potenziellen Auswirkungen einer Ausnutzung.
• Eine detaillierte Beschreibung der Schritte bieten, die zur Reproduktion der Sicherheitslücke erforderlich sind (Proof-of-Concept-Skripte oder Screenshots sind hilfreich).
• Wenn möglich auf Englisch verfasst sind.

Was du von uns erwarten kannst

Wenn du dich entscheidest, deine Kontaktinformationen mit uns zu teilen, verpflichten wir uns, so offen und so schnell wie möglich mit dir zu koordinieren.

• Innerhalb von 3 Werktagen werden wir bestätigen, dass dein Bericht eingegangen ist.
• Nach bestem Wissen und Gewissen werden wir dir die Existenz der Sicherheitslücke bestätigen und so transparent wie möglich über die Schritte sein, die wir während des Behebungsprozesses unternehmen, einschließlich Problemen oder Herausforderungen, die die Lösung verzögern könnten.
• Wir werden einen offenen Dialog führen, um Probleme zu besprechen.
• Wir bitten dich, deine Erkenntnisse nicht zu veröffentlichen, bevor das Problem behoben wurde und die Behebung verifiziert wurde.

Fragen

Fragen zu dieser Richtlinie können an security@ruuvi.com gesendet werden. Wir laden dich auch ein, uns mit Vorschlägen zur Verbesserung dieser Richtlinie zu kontaktieren.

Revisionsverlauf

Version 1.0 - 21. September 2020