Navigation überspringen

Master Lock Richtlinie zur Offenlegung von Schwachstellen

Wir bei Master Lock verpflichten uns, die Sicherheit unserer Kunden zu schützen, und wir bemühen uns, ihnen ein sicheres, stabiles Produkt und einen sicheren Service zu bieten und die Privatsphäre und Sicherheit der Kundendaten zu wahren.

Diese Richtlinie zur Offenlegung von Schwachstellen gilt für alle Schwachstellen, die Sie uns (die „Organisation“) melden möchten.

Wir empfehlen Ihnen, diese Richtlinie zur Offenlegung von Schwachstellen vollständig zu lesen, bevor Sie eine Schwachstelle melden, und diese stets einzuhalten.

Wir schätzen Personen sehr, die Zeit und Anstrengungen auf sich nehmen, Sicherheitslücken gemäß dieser Richtlinie zu melden. Wir bieten jedoch keine finanzielle Belohnung für die Offenlegung von Schwachstellen an.

 

Berichterstellung 

Wenn Sie der Ansicht sind, eine Sicherheitslücke entdeckt zu haben, schicken Sie bitte Ihren Bericht an folgende E-Mail-Adresse: productsecurity@mlock.com.

Bitte machen Sie in Ihrem Bericht nach Möglichkeit Angaben zu folgenden Aspekten:

  • Die App, Website, IP-Adresse oder das Gerät, auf dem die Schwachstelle entdeckt wurde, falls zutreffend.
  • Eine kurze Beschreibung der Schwachstelle, z. B. „XSS-Schwachstelle“.
  • Angaben zu einer möglichen Ursache.
  • Angaben zu Schritten zum Nachvollziehen. Diese sollten ungefährlich sein und zu einem angemessenen Nachweis führen. Dies trägt dazu bei, dass der Bericht schnell und genau vorselektiert werden kann.

 

Was Sie erwartet 

Nachdem Sie Ihren Bericht übermittelt haben, bestätigen wir den Eingang Ihres Berichts innerhalb von 5 Werktagen und bemühen uns, Ihren Bericht innerhalb von 10 Werktagen zu prüfen.

Wir werden uns ebenfalls bemühen, Sie über unsere Fortschritte auf dem Laufenden zu halten, und wir werden Sie gegebenenfalls um zusätzliche Informationen bitten.

Die Priorität, die Schwachstelle zu beheben, wird anhand der Auswirkungen, des Schweregrads und der Komplexität der Schwachstelle bewertet. Es kann einige Zeit dauern, bis Berichte zu Schwachstellen vorselektiert oder bearbeitet werden. Sie können sich gerne nach dem Stand erkundigen. Wir möchten Sie allerdings bitten, dies nicht öfter als einmal alle 14 Tage zu tun.

Wir benachrichtigen Sie, sobald die Schwachstelle behoben ist, und Sie werden möglicherweise aufgefordert, zu bestätigen, dass die Schwachstelle angemessen behoben wurde.

Sobald die Schwachstelle behoben ist, werden wir der Person, die die Schwachstelle gemeldet hat, den aktuellen Stand mitteilen, um die Angelegenheit abzuschließen.

 

Richtlinien 

Sie dürfen NICHT:

  • Gegen geltende Gesetze oder Vorschriften verstoßen.
  • Auf unnötige, übermäßige oder erhebliche Datenmengen zugreifen.
  • Änderungen an Daten in den Systemen oder Services der Organisation vornehmen.
  • Hochgradig invasive oder zerstörerische Scan-Tools nutzen, um Schwachstellen zu finden.
  • Versuchen, jede Form von Nichtverfügbarkeit zu melden, z. B. die Überlastung eines Services aufgrund einer hohen Anzahl von Anfragen.
  • Services oder Systeme der Organisation stören.
  • Berichte übermitteln, in denen nicht ausnutzbare Schwachstellen aufgeführt sind, oder Berichte, die darauf hinweisen, dass die Services nicht vollständig mit „Best Practices“ übereinstimmen, z. B. fehlende Security Header.
  • Berichte übermitteln, in denen Schwachstellen in der TLS-Konfiguration aufgeführt sind, z. B. ein „mangelhafter“ Support für Cipher Suites oder TLS1.0-Support.
  • Das Personal oder die Infrastruktur der Organisation durch Social Engineering beeinflussen oder durch „Phishing“-Attacken oder physisch angreifen.
  • Eine finanzielle Belohnung für die Offenlegung von Schwachstellen verlangen. 
  • Schwachstellen gegenüber Dritten ohne die ausdrückliche Genehmigung der Organisation diskutieren oder offenlegen.

 

Pflichten

  • Sie müssen die Datenschutzbestimmungen stets einhalten und Sie dürfen die Privatsphäre der Benutzer, Mitarbeiter, Auftragnehmer, Services oder Systeme der Organisation nicht verletzen. Sie dürfen beispielsweise von den Systemen oder Services abgerufene Daten nicht teilen, weiterverteilen oder nicht ordnungsgemäß speichern.
  • Sie müssen alle Daten, die während Ihrer Nachforschungen abgerufen wurden, sicher löschen, sobald sie nicht mehr benötigt werden, oder innerhalb von 1 Monaten nach Behebung der Schwachstelle, je nachdem, was zuerst eintritt (oder wie anderweitig datenschutzrechtlich vorgeschrieben).

 

Rechtliches 

Diese Richtlinie ist mit gängigen bewährten Verfahren zur Offenlegung von Schwachstellen vereinbar. Sie erlaubt es Ihnen nicht, auf eine Art und Weise zu handeln, die mit dem Gesetz unvereinbar ist oder die dazu führen könnte, dass die Organisation oder Partnerorganisationen gegen gesetzliche Verpflichtungen verstoßen.