Die Online-Sicherheit ist Marketplacer wichtig und wir schätzen die Arbeit der Sicherheitsforscher. Diese Richtlinie beschreibt, wie Sie Sicherheitsmängel oder Schwachstellen, die Marketplacer-Produkte und -Dienstleistungen betreffen, verantwortungsvoll offenlegen können.
Leitfaden
Die Identifizierung und Offenlegung von Sicherheitslücken hilft Marketplacer, die Sicherheit und Privatsphäre aller Nutzer der Marketplacer-Dienste zu schützen.
Wir verlangen, dass alle Forscher:
- Alle Anstrengungen unternehmen, um Verletzungen der Privatsphäre, Beeinträchtigungen der Benutzerfreundlichkeit, Störungen der Produktionssysteme und die Zerstörung von Daten von Marketplacer und unseren Kunden während der Tests zu vermeiden;
- Die Forschung darf nur innerhalb des unten beschriebenen Rahmens und in Übereinstimmung mit den geltenden Gesetzen (einschließlich der Gesetze am Standort des Forschers, in Australien und in einigen Fällen in den Vereinigten Staaten) durchgeführt werden;
- Nutzen Sie die angegebenen Kommunikationskanäle, um uns Informationen über Schwachstellen zu melden; und
- Halten Sie Informationen über die Entdeckung von Mängeln oder Schwachstellen zwischen Ihnen und Marketplacer vertraulich, bis genügend Zeit verstrichen ist, um die Angelegenheit zu klären, jedoch nicht weniger als 90 Tage ab dem Datum der Meldung der Schwachstelle an Marketplacer.
Wenn Sie diese Richtlinien befolgen, wenn Sie uns ein Problem melden, verpflichten wir uns dazu:
- keine rechtlichen Schritte im Zusammenhang mit Ihrer Entdeckung und Meldung der Schwachstelle einzuleiten (im Zusammenhang mit der Nichteinhaltung dieser Richtlinien behalten wir uns alle unsere Rechte vor);
- mit Ihnen zusammenarbeiten, um das Problem zu verstehen und schnell zu lösen (einschließlich einer ersten Bestätigung Ihres Berichts innerhalb von 5 Arbeitstagen nach Eingang der Meldung); und
- Wir nehmen Sie in unsere Hall of Fame für Sicherheitsforscher auf, wenn Sie als Erster ein Problem melden, das wir noch nicht entdeckt haben, und wir auf der Grundlage Ihrer Meldung eine Code- oder Konfigurationsänderung vornehmen.
Umfang
Diese Offenlegungsrichtlinie gilt nur für Schwachstellen in Marketplacer-Produkten und -Dienstleistungen:
- die originär sind, zuvor nicht gemeldet wurden und nicht bereits durch interne Verfahren entdeckt wurden; und
- Für Marketplacer-Domänen/Unterdomänen, die eine security.txt-Datei haben (d. h. https:///. well-known/security.txt).
Außerhalb des Geltungsbereichs
Drittanbieter und Dienstleistungen sind vom Anwendungsbereich ausgeschlossen.
Im Interesse der Sicherheit unserer Nutzer, unserer Mitarbeiter, des Internets im Allgemeinen und von Ihnen als Sicherheitsforscher sind die folgenden Testarten vom Anwendungsbereich ausgeschlossen:
- Ergebnisse von physischen Tests, wie z. B. der Zugang zu Büros (z. B. offene Türen, Schwanzlurche);
- Erkenntnisse, die in erster Linie auf Social Engineering (z. B. Phishing, Vishing) zurückzuführen sind;
- Ergebnisse von einem Konto, das Ihnen nicht gehört;
- Ergebnisse aus Anwendungen oder Systemen, die nicht im Abschnitt "Anwendungsbereich" aufgeführt sind;
- UI- und UX-Fehler, einschließlich Rechtschreibfehler; und
- Denial-of-Service-Schwachstellen auf Netzwerkebene (DoS/DDoS).
Dinge, die wir nicht erhalten wollen:
- Persönlich identifizierbare Informationen (PII);
- Daten des Kreditkarteninhabers;
- Alle anderen sensiblen Daten im Sinne des australischen Datenschutzgesetzes; und
- Berichte, die darauf hinweisen, dass unsere Dienste nicht vollständig mit den "Best Practices" übereinstimmen, z. B. fehlende Sicherheits-Header (CSP, x-frame-options, x-prevent-xss usw.) oder suboptimale E-Mail-bezogene Konfiguration (SPF, DMARC usw.).
Diese Richtlinie soll alle relevanten gesetzlichen Anforderungen erfüllen und gibt Ihnen nicht die Erlaubnis, gegen Gesetze zu verstoßen oder Marketplacer zu veranlassen, gegen Gesetze zu verstoßen.
Wie melde ich eine Sicherheitslücke?
Wenn Sie glauben, dass Sie einen Sicherheitsfehler oder eine Schwachstelle in einem unserer Produkte oder Plattformen gefunden haben, senden Sie uns bitte eine E-Mail an security-vulnerability@marketplacer.com.
Ihr Bericht muss die folgenden Angaben enthalten:
- Beschreibung der Lage und der möglichen Auswirkungen der Schwachstelle;
- Eine detaillierte Beschreibung der Schritte, die zur Reproduktion der Schwachstelle erforderlich sind (POC-Skripte, Screenshots und komprimierte Bildschirmabzüge sind für uns hilfreich); und,
- Ihr Name/Handle und ein Link zur Anerkennung in unserer Ruhmeshalle.
Wenn Sie uns eine Schwachstelle melden, erklären Sie sich damit einverstanden, dass wir Ihren Forschernamen und/oder Ihr Handle zum Zweck der Veröffentlichung Ihrer Daten in unserer Ruhmeshalle der Schwachstellenmeldungen und für unsere internen Unterlagen erfassen und speichern.
(Wenn Sie nicht wünschen, dass Ihre Daten veröffentlicht werden, teilen Sie uns dies bitte zum Zeitpunkt der Bekanntgabe mit).
Wir bitten Sie, Ihren Bericht mit Hilfe unseres PGP-Schlüssels zu verschlüsseln und alle Daten zu löschen, sobald sie nicht mehr benötigt werden.
Wenn Sie sich nicht sicher sind, ob Ihre Handlungen mit unseren Richtlinien übereinstimmen, wenden Sie sich bitte an unser Sicherheitsteam, das Sie unter security-vulnerability@marketplacer.com beraten wird .
Wir können diese Richtlinie von Zeit zu Zeit aktualisieren und überprüfen. Alle Aktualisierungen werden unten vermerkt.