Richtlinie zur Offenlegung von Schwachstellen

Das Sicherheitsteam von Zoom setzt sich für den Schutz unserer Benutzer und ihrer Daten ein. Wir sind der Meinung, dass die Gemeinschaft der unabhängigen Sicherheitsforscher einen wichtigen Beitrag zur Sicherheit des Internets leistet, und begrüßen Berichte über potenzielle Sicherheitsprobleme.

Diese Richtlinie enthält Vorgaben für Sicherheitsforscher zur Durchführung ethischer Forschung und zur Koordinierung der Offenlegung von Sicherheitsschwachstellen bei Zoom.

Wir haben diese Richtlinie entwickelt, um unsere Werte widerzuspiegeln und unser Verantwortungsgefühl gegenüber Sicherheitsforschern zu wahren, die ihr Fachwissen mit uns teilen. Wir ermutigen Sicherheitsforscher, potenzielle Sicherheitsschwachstellen, die sie entdecken, zu melden, damit wir sie beheben und unsere Benutzer schützen können.

Dieses Programm wird auf HackerOne gehostet und dient ausschließlich der koordinierten Offenlegung von potenziellen Software-Sicherheitsschwachstellen.

Programm-Regeln

  • Benachrichtigen Sie uns, sobald Sie eine potenzielle Sicherheitsschwachstelle entdecken. Versuchen Sie nicht, die Schwachstelle selbständig nachzuweisen.
  • Verwenden oder greifen Sie nur auf Konten und Informationen zu, die Ihnen gehören.
  • Zerstören oder verändern Sie keine Daten, die Ihnen nicht gehören.
  • Beeinträchtigen Sie nicht die Leistung der Produkte und Dienstleistungen von Zoom oder unsere Benutzer.
  • Führen Sie keine Social-Engineering-, physischen oder Denial-of-Service-Angriffe auf Personal, Standorte oder Anlagen von Zoom durch.
  • Befolgen Sie die Richtlinien von HackerOne zur Offenlegung, diese Richtlinie zur Offenlegung von Schwachstellen sowie alle geltenden Gesetze.

Anwendungsbereich

Diese Richtlinie gilt für die Produkte, Dienstleistungen und Systeme von Zoom. Achten Sie bei Ihren Recherchen immer darauf, zu überprüfen, wessen Ressourcen Sie testen.

Bitte melden Sie Keybase-Probleme an ihr spezielles Bug-Bounty-Programm auf HackerOne.

Schwachstellen, die in Systemen von Anbietern gefunden werden, fallen nicht in den Geltungsbereich dieser Richtlinie und sollten direkt an den Anbieter über dessen eigene Offenlegungsprogramme gemeldet werden.

Wenn Sie nicht sicher sind, ob ein System in den Geltungsbereich fällt, oder wenn Sie Hilfe benötigen, um einen Befund an einen Anbieter zu melden, kontaktieren Sie uns unter security@zoom.us. Wir helfen Ihnen gern!

Safe Harbor

Alle Aktivitäten, die in Übereinstimmung mit dieser Richtlinie durchgeführt werden, gelten als autorisiertes Verhalten und wir werden keine rechtlichen Schritte gegen Sie einleiten. Wenn ein Dritter im Zusammenhang mit Aktivitäten, die im Rahmen dieser Richtlinie durchgeführt wurden, rechtliche Schritte gegen Sie einleitet, werden wir ebenfalls Schritte unternehmen, um bekannt zu machen, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.

Schwachstellen außerhalb des Anwendungsbereichs

  • Angriffe, die MITM oder physischen Zugriff auf das Gerät eines Benutzers erfordern.
  • Bisher bekannte verwundbare Bibliotheken ohne funktionierenden Proof of Concept.
  • Clickjacking auf Seiten ohne sensible Datenaktionen.
  • Cross-Site-Request-Forgery (CSRF) auf nicht authentifizierten Formularen oder Formularen ohne sensible Datenaktionen.
  • Einbringung von Comma Separated Values (CSV) ohne augenscheinliche Schwachstelle.
  • Fehlende Best Practices bei der SSL/TLS-Konfiguration.
  • Jede Aktivität, die zur Unterbrechung unseres Dienstes führen könnte (DoS).
  • Probleme mit Content-Spoofing und Einbringung von Text ohne Darlegung eines Angriffsvektors/ohne HTML/CSS-Modifikation.
  • Probleme mit Ratenbegrenzung oder Bruteforce auf Endpunkten ohne Authentifizierung.
  • Fehlende Best Practices in der Richtlinie für Inhaltssicherheit.
  • Fehlende HttpOnly- oder Secure-Flags bei Cookies.
  • Fehlende E-Mail-Best-Practices (ungültige, unvollständige oder fehlende SPF/DKIM/DMARC-Einträge usw.).
  • Schwachstellen, die nur Benutzer von veralteten oder ungepatchten Browsern betreffen (weniger als zwei stabile Versionen vor der letzten veröffentlichten stabilen Version).
  • Offenlegung der Softwareversion / Probleme bei der Identifizierung von Bannern / beschreibende Fehlermeldungen oder Header (z. B. Stacktraces, Anwendungs- oder Serverfehler).
  • Öffentliche Zero-Day-Schwachstellen, für die es seit weniger als einem Monat einen offiziellen Patch gibt, werden von Fall zu Fall vergeben.
  • Tabnabbing.
  • Offene Umleitung – Es sei denn, es kann eine zusätzliche Sicherheitsauswirkung nachgewiesen werden.

So melden Sie eine Schwachstelle

Wir akzeptieren und kommunizieren Berichte über potenzielle Sicherheitsschwachstellen auf HackerOne.

Wir bestätigen Ihnen den Erhalt Ihrer Meldung innerhalb eines Werktages.

Was wir von Ihnen benötigen

Damit wir potenzielle Befunde selektieren und beheben können, sollte ein guter Schwachstellenbericht:

  • die Schwachstelle, ihren genauen Fundort, sowie ihre realen Auswirkungen beschreiben.
  • eine detaillierte Beschreibung der erforderlichen Schritte zur Reproduktion der Schwachstelle enthalten (POCs, Screenshots und Videos sind hilfreich).
  • bitte nur eine Schwachstelle pro Bericht enthalten (außer bei einer Angriffskette).
  • keine Meldung über automatische Scannerergebnisse ohne Nachweis ihrer Verwertbarkeit sein.

Was Sie von uns erwarten dürfen

Wenn Sie sich dafür entscheiden, uns Ihre Kontaktdaten mitzuteilen, verpflichten wir uns, uns so offen und schnell wie möglich mit Ihnen zu koordinieren.

  • Wir bestätigen Ihnen den Eingang Ihrer Meldung innerhalb eines Werktages.
  • So weit es uns möglich ist, werden wir Ihnen das Vorhandensein der Schwachstelle bestätigen und Sie so transparent wie möglich über den Behebungsprozess informieren, auch über Probleme oder sonstige Schwierigkeiten, die eine Lösung verzögern könnten.
  • Wir werden jegliche Probleme in einem offenen Dialog besprechen.

Berechtigung

Das Bug-Bounty-Programm von Zoom soll qualifizierte Personen darin bestärken, Schwachstellen detailliert zu melden, um Fehler in bestimmten Produkten und Diensten im Anwendungsbereich zu identifizieren und auszuwerten. Unter bestimmten Umständen kann Zoom dem Sicherheitsforscher, der den Bericht eingereicht hat, finanzielle Belohnungen/Bounties gewähren. Wir freuen uns zwar über jede eingegangene Meldung, aber nur die Forscher, die die folgenden Kriterien erfüllen, sind berechtigt, Bountys zu erhalten:

  • Sie müssen der erste Forscher sein, der einen Bericht über eine bestimmte Schwachstelle einreicht.
  • Sie müssen die Schwachstelle persönlich identifiziert haben oder als Teil eines Teams von Forschern arbeiten, die sich alle für die Teilnahme am Bug-Bounty-Programm von Zoom qualifiziert haben.
  • Sie dürfen derzeit oder in den letzten 12 Monaten nicht bei Zoom, seinen Tochtergesellschaften oder verbundenen Unternehmen beschäftigt sein bzw. gewesen sein.
  • Sie müssen diese Richtlinie einhalten, wenn Sie Schwachstellen entdecken und einen Schwachstellenbericht einreichen.
  • Es darf kein Grund vorliegen, der es Zoom rechtlich verbieten würde, Ihnen eine Bounty zu zahlen.

Sonstige Bestimmungen und Bedingungen

Durch Ihre Teilnahme am Bug-Bounty-Programm von Zoom entsteht keinerlei Arbeitsverhältnis oder Partnerschaft zwischen Ihnen und Zoom. Sie dürfen sich nicht als Mitarbeiter von Zoom oder als jemand, der in irgendeiner Weise mit Zoom verbunden ist, ausgeben. Sie müssen alle geltenden Gesetze in Verbindung mit Ihrer Teilnahme an diesem Programm einhalten. Sie sind für alle anfallenden Steuern verantwortlich, die mit jeder erhaltenen Belohnung/Bounty verbunden sind. Schwachstellenberichte, die vor dem Start dieses Programms eingegangen sind, sind nicht für Belohnungen berechtigt und können nicht erneut für eine Belohnung eingereicht werden. Sie sind nicht berechtigt, Logos, Marken oder Dienstleistungsmarken von Zoom ohne schriftliche Genehmigung von Zoom zu verwenden. Zoom behält sich das Recht vor, diese Richtlinie jederzeit und ohne vorherige Ankündigung zu ändern, indem eine aktualisierte Version dieses Dokuments veröffentlicht wird. Zoom behält sich das Recht vor, dieses Programm jederzeit und ohne vorherige Ankündigung zu beenden.

Geistiges Eigentum

Die Teilnahme am Bug-Bounty-Programm von Zoom gewährt weder Ihnen noch Dritten irgendwelche Rechte an geistigem Eigentum, Produkten oder Dienstleistungen von Zoom. Alle nicht anderweitig in dieser Richtlinie gewährten Rechte sind Zoom ausdrücklich vorbehalten. Unabhängig davon, ob eine Bounty für die Einreichung eines Berichts gewährt wird, treten Sie hiermit alle Rechte, Titel und Interessen, einschließlich aller Rechte an geistigem Eigentum, für alle eingereichten Schwachstellenberichte an Zoom ab. Sie versichern weiterhin, dass Sie das Recht haben, all diese Rechte, Titel und Interessen an Zoom für die Berichte abzutreten, und dass Ihre Teilnahme am Bug-Bounty-Programm von Zoom nicht gegen eine Vereinbarung verstößt, die Sie möglicherweise mit einer anderen dritten Partei, wie z. B. Ihrem Arbeitgeber, haben.