Esko Koordinierte Offenlegung von Schwachstellen (CVD)

At Esko, keeping information safe and secure is a priority. Esko also values transparency in the industry and sharing information to improve security for every organization. Esko is committed to engaging the security research community in a professional and constructive manner that protects Esko and all its customers. Esko has established a Coordinated Vulnerability Disclosure (CVD) process to continuously improve the security of all its digital products and assets.

If you believe that you have discovered a potential security vulnerability in any of Esko’s digital products or assets, Esko appreciates your help in disclosing it in a responsible manner by submitting a vulnerability report to [email protected].

Please ensure you understand the Esko rules before you report a security vulnerability. By participating in this program, you agree to be bound by the Esko CVD process and by Esko privacy policy. When submitting any information with Esko, you also agree that the information you share will be considered non-proprietary and non-confidential and that Esko is allowed to use such information in any manner, in whole or in part, without any restriction.

Esko reserves the right to modify its coordinated vulnerability disclosure (CVD) process at any time, without notice, and to make exceptions to it on a case-by-case basis.

• Klare Beschreibung und Beweise für die Schwachstelle (Protokolle, Screenshots, Antworten oder andere Beweise);
• Das Datum der Entdeckung;
• Ihre Einschätzung der Ausnutzbarkeit oder der Auswirkungen des Problems und wie Sie sich vorstellen, dass es in einem Angriffsszenario genutzt wird;
• Ein erklärendes Video (vorzugsweise im MP4-Format), das die Methode und alle Schritte zur Entdeckung und Ausnutzung der Sicherheitslücke zeigt.
  • Das/die Tool(s), das/die bei der Entdeckung und Ausnutzung der Sicherheitslücke verwendet wurde(n);
  • Alle Benutzerrechte, die zum Ausnutzen der Sicherheitslücke erforderlich sind
    Alle Plattformen, Betriebssysteme und Versionen, die relevant sind;
  • Alle relevanten IP-Adressen oder URLs;
• Ihre Kontaktinformationen, damit Esko auf sichere Weise mit Ihnen kommunizieren kann.

• Esko vergibt nach eigenem Ermessen Belohnungen nur an den ersten Melder einer relevanten Sicherheitslücke.
• Es gibt spezielle Fälle, in denen eine Schwachstelle an mehreren Stellen vorhanden sein kann, weil Esko-Produkte oder -Anlagen dieselbe Codebasis, dasselbe Framework oder dieselbe Bereitstellungsinstanz nutzen. Die Autorisierung für mehrere Methoden könnte an einer einzigen Stelle erfolgen. In solchen Situationen kommt nur eine Belohnung in Frage.
• Einreichungen ohne erklärendes Video oder ohne klare Beschreibung und Beweise sind standardmäßig nicht für eine Esko CVD-Prämie qualifiziert.
• Personen, die auf der Sanktionsliste stehen und sich in Ländern aufhalten, die auf einer Sanktionsliste stehen, sind nicht für Esko-Belohnungen berechtigt.
• Esko-Mitarbeiter und ihre Familienangehörigen sind vom Esko CVD-Verfahren ausgeschlossen.

• Scherzartikel
• anonyme Berichte
• Berichte, die allgemein gehalten sind oder denen es an Beweisen mangelt, die überprüft werden können
• Berichte, die keine Relevanz für Esko als Unternehmen, seine Technologien oder seine Mitarbeiter oder Kunden haben
• Berichte, die nicht einklagbar sind
• bestimmte Zeitfenster für Korrekturen oder Aktualisierungen an die Person, die die Meldung eingereicht hat.

Sie können alle Informationen über Ihre Schwachstellen an [email protected] senden .
Esko begrüßt Ihre Vorschläge und Ihr Feedback zur Verbesserung des Esko CVD-Programms.

Vielen Dank, dass Sie dazu beitragen, dass Esko und seine Kunden sicher und geschützt sind!