Responsible disclosure
Die Port of Rotterdam Authority hat die Sicherheit unserer Systeme oberste Priorität. Jedoch egal, wie viel Anstrengung wir in unsere Systemsicherheit stecken, können noch einige Schwachstellen vorhanden sein. Wenn Sie eine Schwachstelle entdecken, würden wir gerne darüber in Kenntnis gesetzt werden, um Maßnahmen dagegen einzuleiten. Wir möchten Sie darum bitten, uns zu helfen, unsere Kunden und unsere Systeme zu schützen.
Do's
- Melden Sie die Schwachstelle so schnell, wie nur irgend möglich, um das Risiko zu senken, dass feindliche Akteure diese finden und ausnutzen.
- Melden Sie es in einer Weise, in welcher die Vertraulichkeit des Berichtes geschützt wird, sodass andere keinen Zugriff auf diese Information erhalten.
- Bieten Sie ausreichende Information, um das Problem zu reproduzieren, damit wir in der Lage sind, das Problem zu lösen. Üblicherweise sind die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Anfälligkeit ausreichend. Komplexe Anfälligkeiten bedürfen jedoch weiterer Erklärung.
Don'ts
- Enthüllen Sie die Schwachstelle oder das Problem nicht anderen, bevor es gelöst ist.
- Bauen Sie sich nicht Ihre eigene Hintertür in einem Informationssystem in der Absicht, diese dann zu nutzen, um die Anfälligkeit zu demonstrieren, weil dies zusätzlichen Schaden verursachen kann und unnötige Sicherheitsrisiken kreiert.
- Verwenden Sie eine Anfälligkeit nicht weiter als nötig, um deren Existenz festzustellen.
- Kopieren, ändern oder löschen Sie Daten nicht aus dem System. Eine Alternative dies zu tun ist es, eine Verzeichnisauflistung des Systems zu machen.
- Nehmen Sie keine Veränderungen am System vor.
- Versuchen Sie nicht, wiederholt Zugang zum System zu erhalten oder den Zugang mit anderen zu teilen.
- Vermeiden Sie rohe Gewalt, Angriffe auf die physische Sicherheit, Social Engineering, Distributed-Denial-of-Service, Spam oder Anwendungen von Drittanbietern, um Zugriff auf das System zu erhalten.
Was wir versprechen
- Wir werden auf Ihren Bericht innerhalb von 5 Geschäftstagen mit einer Auswertung des Berichtes und einem voraussichtlichen Lösungsdatum antworten.
- Wenn Sie obigen Anweisungen gefolgt sind, werden wir bezüglich des Berichtes nicht rechtlich gegen Sie vorgehen.
- Wir werden Ihre persönlichen Daten nicht ohne Ihre Erlaubnis an Dritte weitergeben, sofern es nicht aus rechtlichen Gründen notwendig ist. Es ist möglich, unter einem Pseudonym oder anonym Bericht zu erstatten.
- Wir werden Sie über die Fortschritte zur Lösung des Problems auf dem Laufenden halten.
- In den öffentlichen Informationen bezüglich des gemeldeten Problems geben wir Ihren Namen als Entdecker des Problems preis (es sei denn, Sie wünschen es anders).
- Wir streben danach, alle Probleme so schnell wie möglich zu lösen, und wir würden gerne eine aktive Rolle in der endgültigen Veröffentlichung des Problems spielen, nachdem es gelöst wurde.
Diese verantwortungsvolle Veröffentlichungspolitik basiert auf einem von Floor Terra verfassten Beispiel und den Offenlegungsrichtlinien des NCSCs.
Responsible disclosure hall of fame
Diesen Personen danken wir für ihren Beitrag zur Steigerung der Sicherheit unserer Systeme.