Richtlinie zur Offenlegung von Schwachstellen

SharpSpring von Constant Contact (SharpSpring) nimmt die Sicherheit unserer Plattformen und der Daten unserer Benutzer sehr ernst. Wenn Sie potenzielle Sicherheitslücken in einem SharpSpring-Dienst entdeckt haben oder glauben, entdeckt zu haben, empfehlen wir Ihnen, uns Ihre Entdeckung so schnell wie möglich gemäß diesem Vulnerability Disclosure Program mitzuteilen. Bitte beachten Sie, dass sich das Vulnerability Disclosure Program von einem Bug Bounty unterscheidet. Das Vulnerability Disclosure Program ermöglicht es ethischen Hackern, Schwachstellen zu finden und zu melden, bietet jedoch keine finanzielle Entschädigung. SharpSpring behält sich das Recht vor, Einsendungen anzunehmen oder abzulehnen.

Sicherer Hafen

Wenn Sie Sicherheitslücken gemäß diesem [Vulnerability Disclosure Program] entdecken und melden, betrachten wir diese Forschung als:

  • Autorisiert in Übereinstimmung mit dem Computer Fraud and Abuse Act (CFAA) (und/oder ähnlichen staatlichen Gesetzen), und wir werden keine rechtlichen Schritte gegen Sie einleiten oder unterstützen, wenn Sie versehentlich und in gutem Glauben gegen diese Richtlinie zur freiwilligen Offenlegung verstoßen;
  • Vom Digital Millennium Copyright Act (DMCA) ausgenommen, und wir erheben keine Ansprüche gegen Sie wegen Umgehung von Technologiekontrollen;
  • Ausgenommen von Beschränkungen in unserem Nutzungsbedingungen dies würde die Durchführung von Sicherheitsforschung beeinträchtigen, und wir verzichten in begrenztem Umfang auf diese Beschränkungen für Arbeiten, die im Rahmen dieses [Programms zur Offenlegung von Sicherheitslücken] durchgeführt werden; und
  • Rechtmäßig, hilfreich für die allgemeine Sicherheit des Internets und in gutem Glauben durchgeführt.

Wie immer wird von Ihnen erwartet, dass Sie alle geltenden Gesetze einhalten. Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder unsicher sind, ob Ihre Sicherheitsforschung mit diesem [Programm zur Offenlegung von Sicherheitslücken] übereinstimmt, kontaktieren Sie uns bitte, bevor Sie fortfahren.

Voraussetzungen

Sie dürfen nicht an diesem Programm teilnehmen, wenn Sie ein Mitarbeiter oder Familienmitglied eines Mitarbeiters oder ein aktueller Anbieter oder Mitarbeiter eines solchen Anbieters von SharpSpring oder einer seiner Tochtergesellschaften sind. Die Teilnahme ist Ihnen auch untersagt, wenn Sie sich (i) in einem Land oder Gebiet aufhalten, das Ziel von US-Sanktionen ist (einschließlich Kuba, Iran, Syrien, Nordkorea oder der ukrainischen Krim-Region), (ii) als Specially ausgewiesen sind Vom Office of Foreign Assets Control des US-Finanzministeriums designierte nationale oder blockierte Person oder anderweitig im Besitz oder unter der Kontrolle einer solchen Person oder Organisation oder im Namen einer solchen Person oder Organisation handelnd oder (iii) anderweitig eine verbotene Partei gemäß den US-Handels- und Exportkontrollgesetzen.

Diskretionäre Offenlegungsrichtlinie:

Da die öffentliche Bekanntgabe einer Sicherheitslücke die gesamte SharpSpring-Community gefährden könnte, verlangen wir, dass Sie solche potenziellen Schwachstellen vertraulich behandeln, bis wir sie beheben können. Daher wird die öffentliche Offenlegung der Übermittlungsdetails einer identifizierten oder angeblichen Schwachstelle ohne ausdrückliche schriftliche Zustimmung von SharpSpring die Übermittlung als nicht konform mit dieser Richtlinie zur Offenlegung von Schwachstellen betrachten. 

Entdecken von Sicherheitslücken

Wir fördern verantwortungsbewusste Sicherheitsforschung zu den SharpSpring-Diensten und -Produkten. Wir gestatten Ihnen, Schwachstellenforschung und -tests für die SharpSpring-Dienste und -Produkte durchzuführen, auf die Sie autorisierten Zugriff haben. In keinem Fall dürfen Ihre Recherchen und Tests ohne Einschränkung Folgendes umfassen:

  • Zugriff auf oder versuchter Zugriff auf Konten oder Daten, die nicht Ihnen oder Ihren autorisierten Benutzern gehören,
  • Jeder Versuch, Daten herunterzuladen, zu ändern oder zu zerstören,
  • Ausführen oder Versuch der Ausführung eines Denial-of-Service-Angriffs,
  • Senden oder Versuch des Sendens von unerwünschten oder nicht autorisierten E-Mails, Spam oder anderen Formen von unerwünschten Nachrichten,
  • Testen von Websites, Anwendungen oder Diensten von Drittanbietern, die in alle SharpSpring-Dienste integriert sind,
  • Posten, Übertragen, Hochladen, Verlinken, Senden oder Speichern von Malware, Viren oder ähnlicher schädlicher Software oder anderweitige Versuche, die SharpSpring-Dienste zu unterbrechen oder zu beeinträchtigen.
  • Jede Aktivität, die gegen geltendes Recht verstößt.

Melden von In-Scope-Sicherheitslücken

Wenn Sie glauben, dass Sie ein Sicherheitslückenproblem entdeckt haben, teilen Sie die Details bitte SharpSpring mit, indem Sie unser ausfüllen Anmeldeformular. Wir werden mit Ihnen zusammenarbeiten, um Sicherheitslücken, die Sie uns melden, zu validieren und darauf zu reagieren. Ihr Bericht wird zur zeitnahen Bestätigung und Überprüfung an unseren Partner (BugCrowd) weitergeleitet. Für jede gültig akzeptierte Meldung werden Sie mit „Punkten“ belohnt. Sie müssen die erste Person sein, die den Fehler meldet, um alle möglichen Punkte zu erhalten.

Verifizierte Probleme werden an unsere Entwicklungsteams zur Behebung in einem Zeitrahmen weitergeleitet, der dem Schweregrad des Problems entspricht (wie in der BugCrowd Vulnerability Rating Taxonomy definiert). {https://bugcrowd.com/vulnerability-rating-taxonomy}

Bitte senden Sie Schwachstellen-E-Mails nicht direkt an Mitarbeiter von SharpSpring. Die E-Mail-Kommunikation zwischen Ihnen und SharpSpring, einschließlich, aber nicht beschränkt auf E-Mails, die Sie an SharpSpring senden und eine potenzielle Sicherheitslücke melden, sollte keine Ihrer proprietären Informationen enthalten. Der Inhalt aller E-Mail-Kommunikationen, die Sie an SharpSpring senden, gilt als nicht urheberrechtlich geschützt. SharpSpring oder eines seiner verbundenen Unternehmen kann solche Mitteilungen oder Materialien für beliebige Zwecke verwenden, einschließlich, aber nicht beschränkt auf Reproduktion, Offenlegung, Übertragung, Veröffentlichung, Ausstrahlung und weitere Veröffentlichung.

 

Außer Reichweite 

Im Folgenden finden Sie eine unvollständige Liste von Problemen, die Sie bitte nicht melden, es sei denn, Sie glauben, dass eine tatsächliche Schwachstelle vorliegt:

  • CSRF auf Formularen, die anonymen Benutzern zur Verfügung stehen
  • Offenlegung bekannter öffentlicher Dateien oder Verzeichnisse (z. B. robots.txt)
  • DNSSEC-Konfigurationsvorschläge (Domain Name System Security Extensions).
  • Banner-Offenlegung bei gemeinsamen/öffentlichen Diensten
  • Konfigurationsvorschläge für HTTP/HTTPS/SSL/TLS-Sicherheitsheader
  • Fehlende Secure/HTTPOnly-Flags bei nicht sensiblen Cookies
  • Logout Cross-Site Request Forgery (Logout CSRF)
  • Phishing- oder Social-Engineering-Techniken
  • Vorhandensein einer „Autocomplete“- oder „Passwort speichern“-Funktion der Anwendung oder des Webbrowsers
  • Sender Policy Framework (SPF)-Konfiguration und Vorschläge für Domain-based Message Authentication, Reporting & Conformance (DMARC).

Durch die Teilnahme an diesem Vulnerability Disclosure Program bestätigen Sie, dass Sie die von SharpSpring gelesen haben und ihnen zustimmen Nutzungsbedingungen und Privatsphäre und Datenschutz, sowie Die Standard-Offenlegungsbedingungen von BugCrowd. Im Falle eines Konflikts zwischen den Nutzungsbedingungen von SharpSpring und den Standard-Offenlegungsbedingungen von BugCrowd haben die Nutzungsbedingungen von SharpSpring Vorrang.