Skip to content
Deutsch
Mein KontoWarenkorb

Esko CVD-Regeln

Um eine verantwortungsvolle Offenlegung zu fördern, bittet Esko Sie, die folgenden Regeln zur verantwortungsvollen, koordinierten Offenlegung von Sicherheitslücken einzuhalten:

  • Verstoßen Sie nicht gegen internationale, bundesstaatliche oder lokale Gesetze oder Vorschriften.
  • Melden Sie die Schwachstelle bei Entdeckung oder so schnell wie möglich
  • Versuchen Sie nicht, sich Zugang zu Konten oder Daten zu verschaffen, die Ihnen nicht gehören.
  • Wenden Sie sich sofort an uns, wenn Sie versehentlich auf Benutzerdaten stoßen, die Ihnen nicht gehören.
  • Sehen Sie die Daten nicht an, verändern Sie sie nicht, speichern Sie sie nicht, übertragen Sie sie nicht und greifen Sie nicht auf sie zu.
  • Führen Sie keine Aktivitäten aus, die Esko oder seine Benutzer stören, schädigen oder verletzen könnten.
  • Führen Sie keine Social Engineering-Angriffe gegen Esko-Mitarbeiter durch.
  • Führen Sie keine physischen Angriffe auf die Infrastruktur oder Einrichtungen von Esko durch.
  • Verwenden Sie zum Testen von Esko-Produkten / Assets immer Konten, E-Mail-Adressen und Telefonnummern, die Ihnen gehören, und interagieren Sie nur mit Konten, die Ihnen gehören.
  • Wenden Sie sich nicht an den Esko-Produktsupport, um den Status oder die Entscheidung eines Schwachstellenberichts zu erfahren.
  • Behandeln Sie einen Schwachstellenbericht und jede Schwachstelle als vertrauliche Information und geben Sie keine Informationen an Dritte weiter (mit Ausnahme der Weitergabe an Esko), bis eine öffentliche Bekanntgabe mit Esko vereinbart wurde.
    • Wenden Sie die folgenden Aktionen nicht an:
    • Installieren Sie Malware (Virus, Wurm, Trojaner, Ransomware, usw.).
    • Nehmen Sie Änderungen am System vor.
    • Wiederholter Zugriff auf das System
    • Teilen Sie den Zugang mit anderen.
  • Geben Sie Esko eine angemessene Zeit, um auf das Problem zu reagieren, bevor Sie Informationen darüber veröffentlichen.

Esko wird bei versehentlichen, gutgläubigen Verstößen gegen diese CVD-Regeln von Esko keine zivilrechtlichen Schritte einleiten oder eine Anzeige bei den Strafverfolgungsbehörden erstatten. Die Nichteinhaltung dieser Esko CVD-Regeln führt zum sofortigen Ausschluss aus dem Esko CVD-Verfahren und zum Verfall jeglicher Prämien.

Umfang

  • Alle Produkte und Anwendungen der Marke Esko sind auf esko.com, mediabeacon.com, enfocus.com und avt-inc.com aufgeführt.

CVD-Ausschlüsse

  • Ungeprüfte Ergebnisse von automatischen Tools oder Scans
  • Fehlen einer globalen Sicherheitspraxis, die keine Schwachstelle ist
  • Schaltfläche “Zurück”, die nach dem Ausloggen weiterhin funktioniert
  • Aufzählung von Benutzernamen oder E-Mail-Adressen
  • Fehlende Cookie-Flags bei nicht sensiblen Cookies
  • Fehlende Sicherheits-Header, die nicht direkt zu einer Sicherheitslücke führen
  • Probleme, die nicht die neueste Version moderner Browser oder Plattformen betreffen
  • Angriffe, die physischen Zugriff auf ein Benutzergerät erfordern
  • Hosten von Malware/willkürlichen Inhalten auf Esko und Verursachen von Downloads
  • Social Engineering
  • E-Mail-Bombardierung
  • Möglichkeit zum Hochladen/Herunterladen von ausführbaren Dateien
  • HTML-Injektion
  • CSV-Injektion
  • Abmeldung oder unauthentifizierter CSRF
  • Selbst XSS
  • XSS-Schwachstellen auf Sandbox- oder Benutzer-Inhaltsdomänen
  • Ungültige oder fehlende SPF/DKIM/DMARC-Einträge
  • Umgehung von Einschränkungen bei der Preisgestaltung/bezahlten Funktionen
  • Clickjacking auf nicht authentifizierten Seiten oder auf Seiten, deren Zustand sich nicht wesentlich ändert
  • Verwendung einer bekanntermaßen anfälligen Bibliothek (ohne Nachweis der Ausnutzbarkeit)
  • Wenig aussagekräftige Fehlerseiten und Informationsanzeigen ohne sensible Informationen
  • Passwort- und Kontorichtlinien, wie z.B. (aber nicht beschränkt auf) das Zurücksetzen von Links oder die Komplexität von Passwörtern
  • Unkritische Themen auf blog.esko.com
  • Fehlende Ratenbeschränkungen auf Endgeräten (ohne Sicherheitsbedenken)
  • Vorhandensein von EXIF-Informationen beim Hochladen von Dateien
  • 0-Day-Schwachstellen in Drittanbietern, die Esko nutzt, innerhalb von 10 Tagen nach ihrer Offenlegung
  • Alle anderen Probleme, die als wenig oder vernachlässigbar sicherheitsrelevant eingestuft werden

Sie können immer noch melden, wenn Sie auf einen der Fälle in dieser Liste stoßen, der erhebliche Auswirkungen auf die Sicherheit hat, und Esko kann Ihren Beitrag anerkennen.