Wir bei Bynder sind bestrebt, dafür zu sorgen, dass unsere Systeme, unser Netzwerk und unser(e) Produkte sicher bleiben. Trotz aller Maßnahmen, die wir ergreifen, ist das Vorhandensein von Schwachstellen nie gänzlich auszuschließen. Wenn solche Schwachstellen gefunden werden, möchten wir so schnell wie möglich davon erfahren, damit wir rasch Maßnahmen ergreifen können, um unsere Sicherheit zu erhöhen.
Gemäß dieser Responsible Disclosure Policy ist es Ihnen gestattet, nach Schwachstellen zu suchen, solange Sie Folgendes nicht tun:
- einen Denial of Service (DoS) ausführen oder versuchen, einen solchen auszuführen
- Änderungen an einem System vornehmen
- Malware jeglicher Art installieren
- Social Engineering mit unseren Mitarbeitern oder Kunden (einschließlich Phishing) betreiben
- Scannen oder Ausführen von Tests in einer Weise, die den Betrieb des Dienstes beeinträchtigen oder unsere Kunden in irgendeiner Weise negativ beeinflussen würde
- Eigentum, Büros oder Rechenzentren von Bynder physisch angreifen oder beschädigen oder versuchen, dies zu tun
- Tests mit Anwendungen, Websites oder Diensten von Dritten durchführen, die mit Bynder integriert oder verlinkt sind
- die Amazon Web Services-Infrastruktur scannen oder angreifen oder versuchen, dies zu tun
Ein Verstoß gegen die oben genannten Beschränkungen kann dazu führen, dass Bynder eine Untersuchung einleitet und/oder rechtliche Schritte ergreift, und zwar im größtmöglichen Ausmaß im Rahmen der gesetzlichen Verpflichtungen und Rechte von Bynder oder unserer Partner und Kunden.
Wenn Sie eine Schwachstelle entdecken, kontaktieren Sie uns bitte so schnell wie möglich, indem Sie eine (verschlüsselte) E-Mail an [email protected] senden. Um zu verhindern, dass Informationen in falsche Hände geraten, verwenden Sie bitte den folgenden öffentlichen Schlüssel:
-----BEGIN PGP PUBLIC KEY BLOCK----- mQINBF17iVQBEADUnMB13cfKK/a4Fs5bbxmfA9Lfxs9qea315ABTMFCWkY52NYV2 UL/h7QywncmyrK06zs9Z1yR7w8cFWWfWIThx9GaPBbzgKjhP7wUPB2jFRF5gXH56 qg/6o0C0mytxDfte8o4IIM/e6wngfhvDA6EIS/P/RCVfcbk/UGLcD5YAKt3BZ9PM cLefdbyEp/QtAus/XW9akDTYzFxC0J8ItVQIiLi9hUCiWCqObVW2kguVa+FttRJ6 925TJf+2YfvIT+RZLTExnbmsAIWZW6lthdss+NJcR+iqbrvVU0edYD0xFJlAiig9 V7LNSPRFPXb9zgzLSy1Tr1+3TDoiOFyXwDI9d4ChxdER8UnP+tjPsoscQEELNPV3 nl8e0acuV/0c5X6tXdmVkIznrFAQl363q/GjkvfyUatbr34Seuf3TZwxxWAbSO3+ ccoJG/JJ1q/X3u3j/7CosXLmhNLZEvpsTPpP3U7rpiGO8PPSuW3/OXVps9hJDPH4 Ng5BdzmLwyWDnFljqqxChiZtuZMKmD6BWzWc2Q+EGkylEzQY6ex5DyBdslScn24O MaflrOVYHGdfEUJxiRF5osRtcyAsdu0ZGrQScfwFoJ1fBJs0Bg0fPI0KgFaVLehN aHhiUNzy+9uNF8L1RlP83wJX7SrEtT/x9uWtKIHdOUedx2f62e7e1GvrzwARAQAB tClzZWN1cml0eUBieW5kZXIuY29tIDxzZWN1cml0eUBieW5kZXIuY29tPokCTgQT AQgAOAIbAwIeAQIXgBYhBC/IX9IkmEhtsEig9NGy5gErXQQpBQJde4l+BQsJCAcD BRUKCQgLBRYCAwEAAAoJENGy5gErXQQpEwwP/3f2L/ItCmIErO7xbp7xLcmaemoI +1QNJokP45JyohWBGoTIWc5bYPPZTv32Xt0LAN0n10PS/9aTnPpkgEcrFInFxcSp v3rQHa4pTSH2YbJpRd1vYWmux2mVuzsdbxqsD7bgQUZpTvzo58Dpnw+XN45N4UuB uthWYBd0zQL+X6/0RheaZyDiAom32Zk/idBQICxPFbENp7UVY5c4FawsN+s6vFGF QzLIazxWwi7yJ0nXjdx4GjlpTot3rpuXVspycfYP3Eo8v0nbZcTC+h7IYPE4FqNQ ecme302iL4RTvKrvRRscXpYMfDaqVyOg2dq34nREOziwuzNn7M6hPHrr7XtAvA5m 4U98GYoneYRadU4QrCiIf8HGdboudnszPpuRM6hMpSTjrSXnzzCExKeEea6DFMD9 2lirr2/lC7/rzAaA0xhfVfdfcwvaEWIrvgLWKiQ34t2WrMCwgG6yb60FeYq++nvt 8PxLTTgnWAZ4epIYWVVkdDBrin6D8f0v6d8Jv09gu9AjRm+oEveQeiZAsle40FpE cz0tU3nv1XruOvzJkA9ejIhIcs42TSVXLYPH+AwAAfoZC4DHJRA+0PNSqKhOBlAc EopkuRelodjQ5UOHHJluYv82O3zo9OD6TGxNcbE5x3tG2+l98Zkn1lqIryyWMqjb KPR7a3htRTX0OiTWuQINBF17iVQBEAC+jUxgJ/x4RdH4cIemJ/5qtPb2QlaPPVN5 1F/xZUon9j4cSmpA/HuXfjPP6JgbCtafGSBOcvXBEcwsC6WvYlFUIECQEMVN8tow 7O8Brr2g4CsvreGHzwF4L+BvytVRDFHqe+lWhZyMTpjJiE75DvUSUlQsNl+LSahO 2g9Z4nNtkPPMi8C9XyhsW01JR0tcsKpvXV8Yzd7YDBYN83/bJd2IcVn4JHxl0Ymu 3Oafw73fJ27S5V+CI4SDmE7JzbiNirLwleigsIDIvUVm2lDAtyH9zFlB/IvR6Ut6 EzlMP1SICVnyWyN+Vzn+4X8rVL30KgR7YRVYNY96wuPxlrC34nCDoxoYz92F/o04 ytcvNvJAHeHc0y/IIFO2ip8pSbK1gw+l/usfYAX52dwBfBEw8fXZny7yRVPe+fp/ Rd+6bNHVIiQkPb661UGjE8HjM5mgpeWlNzGmiXC+SPk4g1lws5ahV6OYeP2WWbHH iLC0X0ZaQCyiSwOVGRxN1LYpE2/TGoSJhwR9CMDTV6JTmq2TE3OmzkBr/OR4dr+l GKXVq5knPteDXb+dUadAJGg4JyWUD3kL5+xypr/YzfVTvR3wRvts5P5IZ6Swivg1 9c6V8IWogK4qwOq+wxsu6uSaYrc7yl8sfbB5wlUyQXvfUMps5J3SkwL9ZIYDoFI1 3WVbi4E5zQARAQABiQI2BBgBCAAgFiEEL8hf0iSYSG2wSKD00bLmAStdBCkFAl17 iVQCGwwACgkQ0bLmAStdBCmwGRAAzRth9Hss84McCGhayGGV/3Nto3NzcZJBvwBO SC/iAOU/Uv1Xu8Y/rh1QXWbrFDe0cAJ+pWmFMTrggzZvziXvaovaByTAaTFZn6UC vjtpiyYOOFX9EMsmje2OHy+CIqqDZUnuo8Dqa4QrKBdoJzn2tsBRx+S/HoryFzSt qLVKNFAuqvcD7mwJudxCeMRg5LkrR9SCk7WuigThy810+e24C3xePoDBDOtk3juu jNTraPpesenokPeRqJVQ6H7HGAyFO8Xx1PqiTUnnF0UAQyzp4weas7agwl/LKtiP WBk21S0Vm/LKV9Slp/wfWhdxaW+KESROCJISxldckvPbdAfxIoKoh3GVEqp1QaIV rCz8FTcLSlgBj4ljIl+sGKB2BrlRNuWxq1IbR1IG2sJCbNVVPyb9ybY1BFx6z+DV myPL7c1SNZVbcxi6m1LQSvmI8hLdRohD005fWtBg6hLYIjuqp6E5bu2hQxEprNGF 0U9FGeWIZq9m5OxETEJn7NNF4zBnpR++eLUMXVby+BT9xbfupSfkAhCNq2ObXv/I iEEqIhh+wB6jTSi2tGqGKaeFHsKqEoGV3zs4UBdeGQ7Mkcg6thQt2PAmOQVrNpZ4 VnH9gsn1vzVktE/pgn0F1SXZy3scFBaZ7UfZCdXOYtFMTsbne5uuZGK4K4jBTYH+ tTjLnOg= =WDg1 -----END PGP PUBLIC KEY BLOCK-----
Worum wir Sie bitten:
- Reichen Sie Ihren Schwachstellenbericht so schnell wie möglich nach der Entdeckung der Schwachstelle ein.
- Machen Sie keinen missbräuchlichen Gebrauch von entdeckten Schwachstellen und nutzen Sie diese Schwachstellen nicht aus, gleich zu welchem Zweck.
- Geben Sie entdeckte Schwachstellen nicht an andere Unternehmen oder Personen - mit Ausnahme von Bynder und seinen Mitarbeitern - weiter, bis Bynder bestätigt hat, dass die Schwachstelle beseitigt wurde.
- Stellen Sie uns ausreichende Informationen zur Verfügung, damit wir die Schwachstelle ordnungsgemäß untersuchen können (um die Schwachstelle ordnungsgemäß untersuchen zu können, müssen wir in der Lage sein, Ihre Schritte effizient zu reproduzieren).
- Geben Sie uns die Informationen, die wir benötigen, um Sie zu kontaktieren (mindestens Telefonnummer oder E-Mail- Adresse).
Was wir Ihnen versprechen:
- Wir werden innerhalb von 5 Werktagen nach Erhalt Ihres Berichts mit unserer Bewertung des Berichts und einem voraussichtlichen Datum für die Lösung des Problems antworten.
- Wir werden Sie regelmäßig über unsere Fortschritte bei der Beseitigung der Schwachstelle informieren.
- Wenn Sie die oben genannten Anweisungen befolgt haben, werden wir in Bezug auf den Bericht keine rechtlichen Schritte gegen Sie einleiten.
Belohnungen und Zuschreibungen:
- Bitte fragen Sie nicht nach einer Belohnung, bevor Sie uns die Schwachstelle mitteilen, da wir Ihren Bericht erst auswerten müssen, bevor wir darauf reagieren.
- Wenn Sie eine uns unbekannte Schwachstelle melden und Sie nicht aus einem Land stammen, in dem uns Zahlungen gesetzlich untersagt sind (z. B. aufgrund von Sanktionen), können wir uns dazu entscheiden, Ihnen eine Belohnung anzubieten, die auf unserer Einschätzung der Ernsthaftigkeit der Schwachstelle basiert.
Diese Responsible Disclosure Policy gilt für folgende Assets:
Benutzerkonten können unter https://www.bynder.com/en/trial/ selbst angelegt werden.
Diese Responsible Disclosure Policy gilt nicht für folgende Assets:
- *.bynder.com
- *.getbynder.com
- *.webdamdb.com
- *.webdam.com
Akquisitionen:
- Für alle unsere Akquisitionen werden wir eine sechsmonatige Sperrfrist einführen, um unseren Entwicklungs- und Sicherheitsteams Zeit für die interne Überprüfung und Behebung zu geben. Für Schwachstellen, die in diesem Zeitraum gemeldet werden, gibt es keine Belohnung.
Schwachstellen, für die diese Responsible Disclosure Policy nicht gilt:
- Schwachstellen, die Benutzer von veralteten oder nicht unterstützten Browsern oder Plattformen betreffen
- Richtlinien für die Wiederherstellung von Passwörtern und Konten, wie z. B. das Ablaufen von Reset-Links oder die Komplexität von Passwörtern
- Probleme, die eine unwahrscheinliche Benutzerinteraktion erfordern
- Angriffe, die MITM oder physischen Zugriff auf das Gerät eines Nutzers erfordern
- Angriffe, die einen vorherigen Zugriff auf das E-Mail-Konto eines Nutzers erfordern
- Berichte von automatisierten Tools oder Scannern
- Clickjacking/UI-Redressing
- Herunterladen einer gespiegelten Datei
- ausführliche Fehlerseiten (ohne Nachweis der Ausnutzbarkeit)
- Best Practices bei SSL/TLS
- unvollständige/fehlende SPF/DKIM
- Fingerprinting / Banner-Offenlegung auf gemeinsamen/öffentlichen Diensten
- Offenlegung bekannter öffentlicher Dateien oder Verzeichnisse (z. B. robots.txt)
- Content-Spoofing (Textinjektion)
- Tabnabbing
- OPTIONS HTTP-Methode aktiviert
- Kürzlich bekannt gewordene Zero-Day-Schwachstellen, für die es seit weniger als 30 Tagen einen offiziellen Patch gibt, werden von Fall zu Fall vergeben
- Vorhandensein des Attributs „Autovervollständigen“ in Webformularen
- Verwendung einer Bibliothek, von der bekannt ist, dass sie verwundbar ist (ohne Nachweis der Ausnutzbarkeit)
- CSV-Injektion
- fehlende HTTP-Sicherheits-Header (ohne Nachweis der Ausnutzbarkeit)
- „Self" Cross-Site Scripting (es sei denn, dies erfolgt als Teil einer Kette)
- fehlende Cookie-Flags
- fehlende Best Practices in der Content-Sicherheitsrichtlinie
Folgende Vorlage kann beim Melden einer Schwachstelle verwendet werden:
# Beschreibung
[Beschreibung der identifizierten Schwachstelle]
# Schritte zum Reproduzieren
1. Schritt 1
2. Schritt 2
[...]
# Auswirkung
[Was ein Angreifer durch Ausnutzung der Schwachstelle erreichen könnte]
Jeder Bericht, der im Zusammenhang mit dieser Responsible Disclosure Policy eingereicht wird, wird mit großer Sorgfalt im Hinblick auf die Privatsphäre des Meldenden behandelt. Wir werden Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben, es sei denn, wir sind gesetzlich dazu verpflichtet.