Richtlinie von Mimecast zur verantwortungsvollen Offenlegung
Mimecast betrachtet den Schutz von Kundendaten als eine große Verantwortung, die für uns höchste Priorität genießt, da wir unseren Kunden in jeder Phase ihrer Customer Journey ein herausragendes Erlebnis bieten möchten. Wir nehmen die Sicherheit unserer Systeme daher äußerst ernst und schätzen die Unterstützung von Sicherheitsforschern und anderen Mitgliedern der Sicherheitsgemeinschaft bei der Gewährleistung der Sicherheit unserer Systeme sehr. Gemeinsam können wir die Situation verbessern und Wege finden, um Herausforderungen zu meistern. Mimecast berücksichtigt die Sichtweisen anderer, um die cyber resilience zu stärken. Die verantwortungsvolle Offenlegung von Sicherheitslücken hilft uns dabei, die Sicherheit und den Datenschutz aller unserer Nutzer zu gewährleisten. Sollten Sie eine Sicherheitslücke entdecken, würden wir uns freuen, wenn Sie uns gemäß dieser Richtlinie darüber informieren, damit wir das Problem so schnell wie möglich beheben können. Gemeinsam können wir durch Zusammenarbeit, Kommunikation und gegenseitige Rechenschaftspflicht unsere Ziele erreichen.
Leitlinien für die verantwortungsvolle Offenlegung
- Führen Sie Forschungsarbeiten ausschließlich im Rahmen des in dieser Richtlinie festgelegten „Geltungsbereichs“ durch;
- „Mimecast-Kunden sollten für alle Meldungen, die nicht sicherheitsrelevant sind, einen Fall eröffnen.“
- Um uns dabei zu helfen, Art und Ausmaß der potenziellen Sicherheitslücke besser zu verstehen, besuchen Sie bitte https://bugcrowd.com/3905fe58-e58e-491d-87dc-a8a9264eb662/external/report und füllen Sie das Formular mit möglichst vielen Angaben aus. Wenn Sie fertig sind, klicken Sie auf „Sicherheitslücke melden“, um Ihren Bericht an Mimecast zu übermitteln;
- Behandeln Sie Informationen über jede von Ihnen entdeckte Sicherheitslücke vertraulich – ausschließlich zwischen Ihnen und Mimecast –, bis wir mindestens 90 Tage Zeit hatten, das Problem zu prüfen und zu beheben. Es ist wichtig zu beachten, dass der Zeitaufwand für die Prüfung und Behebung eines Problems von einer Reihe von Faktoren abhängen kann, darunter unter anderem die Komplexität der Sicherheitslücke sowie das damit verbundene Risiko;
- Halten Sie die Kommunikationskanäle offen, um eine effektive Zusammenarbeit zu ermöglichen;
- Bemühen Sie sich nach Kräften, Datenschutzverletzungen, eine Beeinträchtigung der Benutzererfahrung, Störungen der Produktionssysteme und die Zerstörung von Daten während der Sicherheitstests zu vermeiden
Was Sie von uns erwarten können:
- Wir werden gemeinsam mit Ihnen daran arbeiten, das Problem zu verstehen und zu beheben, um den Schutz unserer Kunden und Systeme zu verbessern;
- Sofern Sie die oben dargelegten Richtlinien befolgen, werden wir keine rechtlichen Schritte im Zusammenhang mit Ihrer Forschung einleiten oder unterstützen;
- Wir bemühen uns, Ihre Meldung innerhalb von 3 Werktagen nach Eingang zu beantworten.
Im Geltungsbereich
- https://www.mimecast.com
- Mimecast-MTA-Server
- Mimecast-POP-Server
- Mimecast-Dienst „Large File Send“ (LFS)
- Mimecast Secure Messaging (SM)-Dienst
- Mimecast Unified Audit Utility
- Mimecast-Verwaltungskonsole
- Mimecast Personal Portal
- Mimecast Service Monitor
- Mimecast API
- Mimecast Web Security
- Mimecast DMARC Analyzer
- Mimecast Brand Exploit Protect
- Mobile Clients für Android und iOS
- https://blog.mimecast.com
Außerhalb des Geltungsbereichs
Alle von Drittanbietern bereitgestellten Dienste sind vom Geltungsbereich ausgeschlossen. Zu diesen Dienstleistungen gehören:
- Mimecast-Wissensdatenbank (kb.mimecast.com);
- Mimecast Academy (academy.mimecast.com);
- https://community.mimecast.com;
- sowie alles andere, was im obigen Abschnitt „Geltungsbereich“ nicht ausdrücklich genannt wurde.
Im Interesse der Sicherheit unserer Kunden, unserer Mitarbeiter, des Internets insgesamt sowie Ihrer Person als Sicherheitsforscher sind die folgenden Testarten vom Untersuchungsumfang ausgeschlossen:
- Jeder Versuch, Daten zu verändern oder zu vernichten;
- Erkenntnisse, die in erster Linie aus Social Engineering gewonnen wurden (z. B. Phishing);
- Befunde aus Anwendungen oder Systemen, die nicht im Abschnitt „Geltungsbereich“ aufgeführt sind;
- Sicherheitslücken auf Netzwerkebene, die zu einem Denial-of-Service (DoS/DDoS) führen können, oder sonstige Versuche, die von Mimecast angebotenen Dienste zu unterbrechen oder deren Qualität zu beeinträchtigen, einschließlich der Beeinträchtigung der Möglichkeit für Endnutzer, den Dienst zu nutzen;
- Jegliche Versuche, auf das Konto oder die Daten eines Nutzers zuzugreifen;
- Und alles, was nach geltendem Recht nicht zulässig ist...
Relevante Sicherheitslücken
Was ist eine „qualifizierte Sicherheitslücke“?Sicherheitslücken in Webanwendungen wie XSS, XXE, CSRF, SQLi, lokale oder entfernte Dateieinbindung, Authentifizierungsprobleme, Remote-Code-Ausführung, Autorisierungsprobleme, Rechteausweitung und Clickjacking. Die Sicherheitslücke muss in einem der Dienste liegen, die im obigen Abschnitt „Geltungsbereich“ aufgeführt sind. Sie müssen der erste Forscher sein, der die Sicherheitslücke verantwortungsbewusst offenlegt, und Sie müssen die in dieser Richtlinie festgelegten Leitlinien zur verantwortungsvollen Offenlegung befolgen, wozu auch gehört, dass Sie uns eine angemessene Frist einräumen, um die Sicherheitslücke zu beheben. Wir werden mit Ihnen nach der Offenlegung der Sicherheitslücke einen angemessenen Zeitrahmen vereinbaren.
Was gilt nicht als „qualifizierte Sicherheitslücke“?Obwohl jede Meldung individuell geprüft wird, finden Sie hier eine Liste einiger Punkte, die nicht als Sicherheitslücken gelten:
- Fehler in der Benutzeroberfläche und der Benutzererfahrung sowie Rechtschreibfehler;
- Probleme im Zusammenhang mit TLS/SSL;
- SPF-, DMARC und DKIM-Konfigurationen;
- Sicherheitslücken aufgrund veralteter Browser oder Plugins;
- Content-Security-Richtlinien (CSP);
- Sicherheitslücken in Produkten, deren Lebenszyklus beendet ist;
- Fehlende Kennzeichnungen auf Keksen;
- Aufzählung von Benutzernamen;
- Sicherheitslücken, die auf dem Vorhandensein von Plugins wie Flash beruhen;
- Sicherheitslücken, von denen Nutzer veralteter Browser und Plugins betroffen sind;
- Es fehlen Sicherheits-Header wie beispielsweise – unter anderem – „ "“, „content-type-options“, „" “, „ "“, „X-XSS-Protection“ und „" “;
- CAPTCHAs fehlen als Sicherheitsmechanismus;
- Probleme, die mit einer bösartigen, auf dem Gerät installierten Anwendung zusammenhängen;
- Sicherheitslücken, für deren Ausnutzung ein Gerät mit Jailbreak erforderlich ist;
- Sicherheitslücken, die einen physischen Zugriff auf mobile Geräte erfordern;
- Verwendung einer Bibliothek, bei der eine Sicherheitslücke bekannt ist, ohne dass nachgewiesen wurde, dass diese ausgenutzt werden kann; und/oder
- „Tap-Jacking“- und „UI-Redressing“-Angriffe, bei denen der Benutzer dazu verleitet wird, auf ein UI-Element zu tippen;
Funktionen zur Kontosperrung oder zur Ratenbegrenzung; - Funktionen zur Kontosperrung oder zur Begrenzung der Zugriffshäufigkeit;
- Auf Seiten offengelegte API-Schlüssel (z. B. (Google Maps), es sei denn, es lässt sich nachweisen, dass dieser Schlüssel eine privilegierte Operation ausführt;
- „Offenlegung des Quellcodes“ von JavaScript-Dateien, es sei denn, es kann nachgewiesen werden, dass es sich bei der betreffenden Datei um eine private Datei handelt;
- „Cross-Domain-Referrer-Leakage“, sofern die Referrer-Zeichenkette keine vertraulichen oder privaten Informationen enthält;
- Angriffe durch die Übernahme von Subdomains ohne Nachweis – ein häufiges Fehlalarmbeispiel ist smartlinggdn.mimecast.com;
- Host-Header-Injektionen, bei denen zur Ausnutzung der Schwachstelle eine MITM-Verbindung hergestellt werden muss oder bei denen der Wert des Headers nicht auf der Seite angezeigt bzw. in der Anwendung verwendet wird;
- Fehlende Sicherheitsattribute bei HTML-Elementen (Beispiel: Autocomplete-Einstellungen bei Textfeldern);
- Die Möglichkeit, eine Seite in einem iFrame einzubinden / Clickjacking;
- HTML-Injektion ohne Auswirkungen auf die Sicherheit;
- CSRF-Angriffe, die keine Auswirkungen haben oder keine Berechtigungsgrenze überschreiten;
- Jegliche Datenlecks bei Dritten, die nicht der Kontrolle von Mimecast unterliegen (z. B. Google, Bing, GitHub, Pastebin usw.);
- Im Allgemeinen werden Sicherheitslücken von Drittanbietern nicht akzeptiert, zu denen noch kein Sicherheitshinweis veröffentlicht wurde;
- Sicherheitslücken, die erst kürzlich (vor weniger als 30 Tagen) veröffentlicht wurden;
- Bereits gemeldete Sicherheitslücken bzw. deren Behebung ist derzeit im Gange.
- Alle E-Mails von Mimecast-Produkten, die sensible Links enthalten, die bei Interaktionen mit Kunden – direkt oder indirekt – offengelegt wurden und schließlich bei Drittanbietern landen.
Mimecasts „Wall of Fame“ für Sicherheitsforscher
Mimecast möchte den folgenden Sicherheitsforschern öffentlich seinen tiefsten Dank aussprechen, da sie Sicherheitslücken verantwortungsbewusst offengelegt und gemeinsam mit uns an deren Behebung gearbeitet haben. Mimecast weiß Ihre legendären Bemühungen wirklich zu schätzen.
2015
- Pradeep Kumar – facebook.com/pradeepch99
- Sumit Jain – facebook.com/sumit.cfe
- Jay Patel – facebook.com/jaypatel9717
- Deepak Das – facebook.com/deepak.das.581525
- Shivam Kumar Agarwal – facebook.com/shivamkumar.agarwal.9
- Naveen Sihag – twitter.com/itsnaveensihag
- Rafael Pablos
- Junting Zhu
2016
J. Vogel
Matias P. Brutti
Mike Brown – twitter.com/m8r0wn
Stephen Tomkinson (NCC Group Piranha Phishing-Simulation)
2017
Will Pearce &, Nick Landers (Silent Break Security)
Dipu Hasan
Paul Price (Schillings Partners)
Terry Conway (CisCom Solutions)
2018
- Abdul Mateen
- Pritam Singh
- John Lee (City Business Solutions UK Ltd)
- Jeroen W
2019
- Charlie Smith – twitter.com/moopinger
- Patrick Sukop – twitter.com/iKnadt
- Abdelhak Kharroubi
- Francesco Lacerenza – linkedin.com/in/francesco-lacerenza/
- Raphaël (Access42 B.V.)
- Rotimi Akinyele – linkedin.com/in/nigerianpenetrationtester
- Wesley Kirkland – linkedin.com/in/wesleykirkland
2020
- Vaibhav Atkale – twitter.com/atkale_vaibhav
- Swapnil Maurya – twitter.com/swapmaurya20
- Derek Knaub – linkedin.com/in/derek-knaub-97836514
- Sanem Sudheendra
2021
- Naz Markuta – linkedin.com/in/naz-markuta/
- Darren LaCasse – twitter.com/stiltznet
- Ajit Bhatta – twitter.com/callmeajit
- Shreeram Mallick – linkedin.com/in/shreeram-mallick-051b43211
- Rob Lowery – lowery.tech
- Shane King – linkedin.com/in/shane-king-b282a188
- Scheich Rishad
2022
- Patrick Sayler (NetSPI)
- Mayank Gandhi – linkedin.com/in/mayank-gandhi-0163ba216
- Ankur Vaidya
2023
- Elliott Brooks
2024
- Junting Zhu, Chandler Wang &, Shuai Yu
2025
- Alvin Mwambi Osano (@Steiner254) – x.com/Steiner254
- Martin Hodgson (Conosco)
- Connor Percival (3B Datensicherheit)
- Cobus Mentz – Woolworths Südafrika