Verantwoorde openbaarmaking

Mimecasts beleid voor Responsible Disclosure

Mimecast begrijpt dat de bescherming van klantgegevens een zwaarwegende verantwoordelijkheid is die onze hoogste prioriteit vereist. Daarom nemen we de beveiliging van onze systemen uiterst serieus en hebben we oprechte waardering voor de hulp van beveiligingsonderzoekers en anderen in de beveiligingsgemeenschap bij het beveiligen van onze systemen. De Responsible Disclosure van beveiligingsproblemen helpt ons om de veiligheid en privacy van al onze gebruikers te beschermen.

Er zijn enkele grondbeginselen waarvan we graag willen dat onderzoekers zich daar aan houden:

  • Zorg ervoor dat het beveiligingsprobleem niet publiekelijk bekendgemaakt wordt voordat Mimecast een redelijke hoeveelheid tijd heeft gehad om het beveiligingsprobleem op te lossen
  • Houd de communicatiekanalen open om een doeltreffende samenwerking mogelijk te maken

Richtlijnen voor Responsible Disclosure

We vragen alle onderzoekers:

  • Al het mogelijke te doen om privacyschendingen, aantasting van de gebruikerservaring, verstoring van productiesystemen en vernietiging van gegevens tijdens de beveiligingstesten te voorkomen;
  • Alleen onderzoek te doen binnen het hieronder aangegeven werkzaamheidsgebied;
  • De aangegeven communicatiekanalen te gebruiken om informatie over beveiligingsproblemen aan ons door te geven; en
  • Informatie over beveiligingsproblemen die u hebt ontdekt, vertrouwelijk te houden tussen uzelf en Mimecast totdat we 45 dagen de tijd hebben gehad om het probleem op te lossen.

Als u zich aan deze richtlijnen houdt, zullen wij:

  • Geen juridische stappen in verband met uw onderzoek ondernemen of steunen;
  • Met u samenwerken om het probleem snel te begrijpen en op te lossen (inclusief een eerste bevestiging van uw melding binnen 72 uur na inzending);
  • Een coöperatieve relatie met u onderhouden en uw bijdrage erkennen in onze Hall of Fame voor Beveiligingsonderzoekers als u de eerste bent die het probleem meldt en we code of configuraties wijzigen vanwege het probleem.

Werkzaamheidsgebied

  • https://www.mimecast.com
  • Mimecast MTA-servers
  • Mimecast POP-servers
  • Mimecast Large File Send-service (LFS)
  • Mimecast Secure Messaging-service (SM)
  • Mimecast Unified Audit Utility
  • Mimecast Beheerconsole
  • Mimecast Personal Portal
  • Mimecast Servicemonitor
  • Mimecast-API
  • Mobiele clients voor Android, iOS, Windows Mobile en Blackberry
  • https://blog.mimecast.com

Buiten het werkzaamheidsgebied

Alle services die worden gehost door externe leveranciers en diensten zijn uitgesloten van het werkzaamheidsgebied. Deze diensten omvatten:

  • Kennisbank Mimecast (kb.mimecast.com);
  • Mimecast Academy (academy.mimecast.com);
  • https://community.mimecast.com
  • Alles wat niet expliciet beschreven wordt in het gedeelte 'Werkzaamheidsgebied' hierboven

In het belang van de veiligheid van onze gebruikers, medewerkers, internet in het algemeen en u als beveiligingsonderzoeker zijn de volgende soorten tests uitgesloten van het werkzaamheidsgebied:

  • Alle pogingen om gegevens te wijzigen of vernietigen;
  • Bevindingen die hoofdzakelijk het gevolg zijn van sociale technieken (bijv. phishing);
  • Bevindingen van toepassingen of systemen die niet worden genoemd in het gedeelte 'Werkzaamheidsgebied';
  • Denial-of-Service-beveiligingsproblemen (DoS/DDoS) op netwerkniveau of andere pogingen om de door Mimecast geleverde diensten te onderbreken of verstoren, bijvoorbeeld als die van invloed zijn op de mogelijkheid van eindgebruikers om de dienst te gebruiken;
  • Alle pogingen om in te loggen op gebruikersaccounts of gegevens van gebruikers te benaderen;
  • Alles wat niet is toegestaan door de toepasselijke wetgeving, tenzij toegestaan door dit document.

Kwalificerende beveiligingsproblemen

Wat is een kwalificerend beveiligingsprobleem?

Beveiligingsproblemen in webapplicaties zoals XSS, XXE, CSRF, SQLi, opname van lokale of externe bestanden, verificatieproblemen, uitvoering van externe code, autorisatieproblemen, escalatie van bevoegdheden en clickjacking. Het beveiligingsprobleem moet zich voordoen in een van de diensten zoals beschreven in het gedeelte 'Werkzaamheidsgebied' hierboven. U moet de eerste onderzoeker zijn die het beveiligingsprobleem op verantwoorde wijze openbaar maakt en u moet zich houden aan de grondbeginselen voor Responsible Disclosure die in dit beleid worden beschreven. Zo moet u ons bijvoorbeeld een redelijke hoeveelheid tijd geven om het beveiligingsprobleem op te lossen. Deze redelijke hoeveelheid tijd wordt met u overeengekomen na de openbaarmaking van het beveiligingsprobleem.

Wat is geen kwalificerend beveiligingsprobleem?

Elke inzending wordt individueel beoordeeld. Hieronder volgt een lijst met enkele problemen die niet kwalificeren als beveiligingsproblemen:

  • Bugs en spelfouten in UI en UX;
  • Problemen met TLS/SSL;
  • SPF-, DMARC- en DKIM-configuraties;
  • Beveiligingsproblemen als gevolg van verouderde browsers of plug-ins;
  • Content-Security-Policy's (CSP);
  • Beveiligingsproblemen in producten aan het einde van hun levenscyclus;
  • Het ontbreken van een beveiligingsvlag op cookies;
  • Gebruikersnaaminventarisatie;
  • Beveiligingsproblemen die gebruikmaken van de aanwezigheid van plug-ins zoals Flash;
  • Kwetsbaarheden die betrekking hebben op gebruikers van verouderde browsers en plug-ins;
  • Ontbrekende beveiligingsheaders, inclusief maar niet beperkt tot "content-type-options", "X-XSS-Protection";
  • Het ontbreken van CAPTCHA's als beveiligingsmechanisme;
  • Problemen waarvoor een kwaadaardige applicatie moet zijn geïnstalleerd op het apparaat;
  • Beveiligingsproblemen waarvoor jailbreaken van het apparaat nodig is;
  • Beveiligingsproblemen waarvoor fysieke toegang tot mobiele apparaten nodig is;
  • Gebruik van een bibliotheek met bekende beveiligingsproblemen zonder bewijs van toepasbaarheid voor aanvallen;
  • Aanvallen via het kapen van tikken of een gewijzigde gebruikersinterface om gebruikers te verleiden op een element van de interface te tikken.

Hoe kunt u een beveiligingsprobleem rapporteren?

Als u denkt een beveiligingsprobleem te hebben gevonden in een van onze producten of platformen, meld dit dan door te mailen naar ons beveiligingsteam. Neem in uw melding de volgende gegevens op:

  • Beschrijving van de locatie en de potentiële gevolgen van het beveiligingsprobleem;
  • Een gedetailleerde beschrijving van de stappen die nodig zijn om het beveiligingsprobleem te reproduceren; en
  • Uw naam/handle en een link voor erkenning in onze Hall of Fame voor Beveiligingsonderzoekers.

Hall of Fame voor Beveiligingsonderzoekers

Mimecast wil graag publiekelijk onze dankbaarheid betuigen aan de volgende beveiligingsonderzoekers voor de verantwoorde openbaarmaking van beveiligingsproblemen en de samenwerking met ons om die op te lossen. Uw legendarische inspanningen worden zeer gewaardeerd door Mimecast.

2015

  • Pradeep Kumar - facebook.com/pradeepch99 
  • Sumit Jain - facebook.com/sumit.cfe
  • Jay Patel - facebook.com/jaypatel9717
  • Deepak Das - facebook.com/deepak.das.581525
  • Shivam Kumar Agarwal - facebook.com/shivamkumar.agarwal.9
  • Naveen Sihag - twitter.com/itsnaveensihag 
  • Rafael Pablos

2016

  • D.J. Vogel
  • Matias P. Brutti
  • Mike Brown - twitter.com/m8r0wn
  • Stephen Tomkinson (NCC Group Piranha Phishing Simulation)

2017

  • Will Pearce & Nick Landers (Silent Break Security)
  • Dipu Hasan
  • Paul Price (Schillings Partners)
  • Terry Conway (CisCom Solutions)

2018

  • Abdul Mateen
  • Pritam Singh
  • John Lee (City Business Solutions UK Ltd)