Belöningsprogram för sårbarhet
Rapportera sårbarheter som upptäcks i WithSecure™ produkter och tjänster.
WithSecure™ belönar parter som rapporterar säkerhetsbrister i vissa WithSecure-produkter och tjänster, även känt som ett "bug bounty"-program.
För att undvika missförstånd och tvetydigheter tillämpar vi följande riktlinjer; även om de är långa, vänligen läs dem i sin helhet innan du deltar.
Vad handlar det här om?
Vi vill höra om eventuella säkerhetsbrister i våra produkter och tjänster. För att belöna säkerhetsforskare erbjuder vi monetära belöningar för kvalificerade rapporter om säkerhetssårbarheter som lämnas ut till oss på ett samordnat sätt. Det finns dock vissa regler som måste följas för att se till att din säkerhetsforskning inte orsakar säkerhetsrisker för andra användare eller deras uppgifter och för att minska sannolikheten för att din forskning skulle flaggas som ett illvilligt intrångsförsök av vår övervakning. Vi vill också vara tydliga när det gäller vissa aspekter som rör godkännande av rapporter och utbetalning av belöningar för att undvika överraskningar.
En "säkerhetsbrist" definieras som ett problem som orsakar ett brott mot tjänstens eller uppgifternas konfidentialitet, integritet eller tillgänglighet, eller som gäller personuppgifter (personligt identifierbar information) som lagras eller behandlas på ett sätt som inte är förenligt med den gällande finska dataskyddslagstiftningen.
Tillämpningsområde
För närvarande omfattar programmet för sårbarhetsbelöning endast vissa WithSecure™ produkter och tjänster som anges i tabellen nedan. Vi välkomnar sårbarhetsrapporter om alla andra WithSecure™-produkter, tjänster eller offentliga webbsidor. Dessa ingår dock för närvarande inte i detta belöningsprogram.
| WithSecure Client Security |
| WithSecure Client Security Premium |
| WithSecure Server Security |
| WithSecure Server Security Premium |
| WithSecure E-mail and Server Security |
| WithSecure E-mail and Server Security Premium |
| WithSecure Linux Protection |
| WithSecure Atlant |
| WithSecure PSB Linux Security |
| WithSecure Cloud Protection for Salesforce |
| WithSecure Policy Manager |
| WithSecure Elements EPP for Computers |
| WithSecure Elements EPP for Computers Premium |
| WithSecure Elements EPP for Servers |
| WithSecure Elements EPP for Servers Premium |
| WithSecure Elements Collaboration Protection |
Begränsningar och versioner som stöds
Den senaste versionen med den senaste databasuppdateringen installerad som släppts via WithSecure™:s webbsidor, Google Play Store, Windows Phone Store eller Apple App Store. Information om den senaste versionen finns här.
Begränsningar och reproducerbarhet
Säkerhetsproblem på webbläsarsidan måste kunna reproduceras i en webbläsare med HTML5-kompatibilitet. Sårbarheter hos klienter på mobila enheter måste kunna reproduceras på en enhet som inte är rotad, med den senaste och högst ett år gamla firmware som tillhandahålls av tillverkaren av enheten. På Android-enheter måste Google Play Services vara fabriksinstallerat på enheten. På stationära klienter krävs reproducerbarhet utan att angriparen behöver administratörs- eller rotbehörighet och med ett operativsystem som är uppdaterat med de senaste säkerhetsläckorna från OS-leverantören eller OS-distributionen. De stödberättigade klientbuggarna måste finnas i den kod som WithSecure™ levererar som en del av en klientapplikation. Fel i tredjepartskomponenter är i allmänhet stödberättigande om de levereras som en del av WithSecure™-klientprogrammet. Problem som är fel i den underliggande plattformen, operativsystemet eller plattformslevererade bibliotek kan vara stödberättigande så länge de kan manifestera eller påverka WithSecure™-applikationen. När det gäller buggar för externa komponenter kommer vi att erbjuda oss att ta ansvar för att underrätta de berörda parterna i tid. Om du behöver ett förtydligande kan du kontakta oss i förväg.
Tillåten säkerhetsforskning
Vi tillåter endast säkerhetsforskning:
- Gör ett försök att i god tro att undvika att påverka tredjepartstjänster eller deras tillgänglighet;
- Gör ett försök i god tro att inte påverka eller avslöja andra användares konton, personuppgifter eller innehåll och att inte påverka andra användares tillgång till tjänsten;
- Använd endast användarkonton som tillhör dig personligen (du får skapa flera konton specifikt för att bedriva säkerhetsforskning för detta program för belöning av sårbarheter);
- Endast måltavlor för användarkonton, användardata eller personuppgifter som tillhör dig personligen eller som är falska testdata;
- Använder eller riktar sig endast till klienter som har installerats på maskinvara som du själv äger och driver;
- Vi använder endast metoder som är förenliga med din lokala och finländska lagstiftning;
- Används inte skadliga eller destruktiva nyttolaster utöver vad som är tekniskt nödvändigt för en godartad proof-of-concept-demonstration;
- Endast de tjänster eller produkter som anges ovan, med lämpliga undantag.
Om du har några frågor om huruvida en viss typ av forskning är tillåten eller om ett visst mål omfattas, kontakta oss på security@withsecure.com innan du genomför forskningen.
Hur man rapporterar en sårbarhet
Skicka din rapport via e-post till security@withsecure.com. Vi rekommenderar starkt att du krypterar e-postmeddelandet med vår PGP-nyckel, som finns på nyckelservrar (key fingerprint 9443 EB64 5377 2088 D6DA 21E0 AC07 87AE 70E4 79FB), och bifogar din egen offentliga nyckel i e-postmeddelandet.
Observera att du genom att skicka in en sårbarhetsrapport till oss ger oss en evig, världsomspännande, royaltyfri, oåterkallelig och icke-exklusiv licens och rätt att använda, ändra och införliva din rapport eller delar av den i våra produkter, tjänster eller testsystem utan några ytterligare skyldigheter eller meddelanden till dig.
Alla felrapporter eller kundtjänstförfrågningar som inte är relaterade till säkerhet eller integritet och som skickas till denna e-postadress kommer att ignoreras. Om du har en icke-säkerhetsrelaterad fråga om WithSecures produkter kan du besöka https://community.withsecure.com eller kontakta Support For Business.
Beskriv åtminstone följande i din rapport:
- Vad du hittade
- Exakt var du hittade det och hur du kan återskapa det
- Exempel: Om angreppet gäller en specifik URI och en specifik parameter, ange den informationen i detalj.
- Exempel: Om du anger en specifik URI eller ett specifikt URI, ge oss närmare information om detta: Om du utför fuzzing-verksamhet, ge oss ytterligare information, särskilt om den ursprungliga korpus du använde.
- Om sårbarheten gäller en tjänst, datum och tid (UTC) då du kunde reproducera sårbarheten (vi kan ha distribuerat en ny version sedan dess)
- Om sårbarheten gäller en klient, ange klientens versionsnummer, på vilken plattform klienten körs och databasversion (om tillämpligt)
- Möjliga konsekvenser av sårbarheten eller hur en angripare kan utnyttja sårbarheten
- Proof-of-Concept eller funktionellt utnyttjande om det finns tillgängligt
- Förslag till lösning, om tillgängligt.
Vi skulle vara tacksamma för all ytterligare relevant teknisk information som du kan ha, särskilt om reproduktionen är knepig. Om vi inte kan reproducera den kan vi inte belöna dig.
Vi strävar efter att skicka dig ett kvitto inom fem arbetsdagar. Om du inte hör av dig till oss inom den tiden, skicka in rapporten på nytt.
Vad händer efter din anmälan
Våra utvecklare kommer att undersöka saken och avgöra om det som du har upptäckt verkligen är en säkerhetsbrist och om vi kan reproducera den med hjälp av den information du har lämnat. Om det uppfyller kraven kommer en belöning att betalas ut efter att problemet har åtgärdats.
Vi kan inte åta oss någon specifik tidtabell för korrigering (och därmed för utbetalning av belöning) eftersom varje fall är olika. Internt ger vi dock hög prioritet åt externt rapporterade säkerhetsfrågor, och vi kommer att försöka hålla dig uppdaterad om statusen. Du kan också be om statusuppdateringar genom att kontakta din handläggare.
Vi kan ibland publicera namnen på personer som vi har belönat, och om vi publicerar några bulletiner om sårbarheter vill vi gärna ge kredd där det är på sin plats. Om du hellre vill hålla dig bakom ett alias eller vara anonym kommer vi naturligtvis att respektera det.
Även om vi kommer att försöka se problemet med dina ögon, kan vi i vissa ytterlighetsfall vara av den åsikten att det problem som du har hittat inte utgör någon risk eller att problemet inte är en säkerhets- eller integritetsbugg. I dessa fall kommer ingen belöning att betalas ut.
Ingen belöning kommer att betalas ut om problemet på något sätt blir offentligt innan det har åtgärdats. Om någon annan redan har rapporterat upptäckten tidigare kommer vi att meddela dig när problemet har åtgärdats. Om flera forskare rapporterar samma problem belönar vi endast avsändaren av den första rapporten som ger oss tillräckligt med tekniska detaljer för att vi ska kunna reproducera resultatet. Vi vet att detta skulle ge oss ett kryphål för att hävda att allt redan har hittats tidigare, men lita på oss, vi vill vara rättvisa.
Belöningar
Belöningens storlek bestäms uteslutande av ett WithSecure™-team bestående av vår tekniska personal och baseras på den uppskattade risken som sårbarheten utgör. Den nuvarande belöningen ligger mellan 100 och 15 000 euro.
Om du rapporterar flera problem som är dubbletter i olika delar av tjänsten (t.ex. samma kod som körs på olika noder eller plattformar), eller som är en del av ett större problem, kan dessa kombineras till ett och endast en belöning kan betalas ut.
I följande tabell visas flera felklasser och deras motsvarande belöning. Även om inte alla felklasser omfattas av denna lista kan du få en uppfattning om allvarlighetsgrad kontra belöning genom att granska följande exempel.
| Belöningsbelopp (€) | Exempel |
|---|---|
| Upp till 15 000 |
|
| Upp till 5 000 |
|
| Upp till 2 000 |
|
| Upp till 500 |
|
Betalningar
VIKTIGT! Skicka inte dina betalningsuppgifter till oss i förväg. Vi kommer att be om lämplig information om och när en betalning ska göras.
Betalningar görs som banköverföringar inom det gemensamma eurobetalningsområdet (SEPA) eller internationella banköverföringar (banköverföring) utanför SEPA. Vi kan inte använda checkar, kryptovalutor eller använda andra penningöverföringstjänster. Betalningsmottagaren är ansvarig för eventuella avgifter som tas ut för överföringen och för att få tillgång till pengarna när de väl har överförts. Betalningar görs som standard i euro (EUR) och eventuella valutakonverteringar görs till den aktuella bankkursen.
Vi är skyldiga att rapportera alla individuella forskares belöningar till den finska skattemyndigheten oavsett var du bor. För att kunna göra detta och för att kunna göra en utbetalning begär vi senare ditt fullständiga namn, födelsedatum och en aktuell fysisk postadress samt uppgifter om din banköverföring (banköverföring). Om du har ett företag kan vi begära att du fakturerar oss i stället.
Mottagaren ansvarar för eventuella skatter. Om du är beskattad i Finland är vi skyldiga att samla in källskatten och behöver ditt personnummer och eventuellt ditt beskattningsintyg för innevarande år.
Dessa identifieringskrav åläggs oss av myndigheterna och vi kan inte göra några undantag från dessa. Dessutom görs inga betalningar till länder eller jurisdiktioner som är belagda med embargo eller till personer eller enheter som finns med på en sanktionslista.
På grund av dessa identifieringskrav kommer vi endast att hantera den ursprungliga rapportören direkt. Vi kommer endast att använda e-postadressen i den ursprungliga rapporten, så se till att du har fortsatt tillgång till det e-postkonto som du använde för att skicka den ursprungliga rapporten.
Ytterligare rättsliga uttalanden
Våra jurister vill att vi påpekar följande små bokstäver:
Du får göra reverse-engineering och dekompilera WithSecure™-klienter strikt och enbart i syfte att utföra säkerhetsforskning för detta program för belöning av sårbarheter. Detta tillstånd gäller endast för WithSecure™-klienter som uttryckligen namnges och förtecknas i detta program för belöning av sårbarheter, med undantag för alla licensierade tredjepartskomponenter i dessa. Du får inte avslöja, visa eller publicera någon kod eller delar av den till tredje part i någon form som du har erhållit till följd av detta tillstånd.
En beskrivning av det personregister som används för utbetalning av belöningar finns här.
WithSecure™ förbehåller sig rätten att avbryta detta belöningsprogram och ändra dess villkor när som helst utan föregående meddelande. Denna text ändrades senast den 2022-01-05. Om det nuvarande belöningsprogrammet för sårbarhetsbelöningar inte förlängs specifikt här, kommer det att upphöra den 31 december 2022. Alla beslut om belöningsutbetalningar är slutgiltiga. Reglerna för detta belöningsprogram eller någon kommunikation i samband med detta ger eller innebär inga skyldigheter gentemot WithSecure™ av något slag.
