Programm zur verantwortungsvollen Offenlegung
Einführung
Censys ist der Ansicht, dass eine rechtzeitige, koordinierte Offenlegung von Schwachstellen im besten Interesse der Öffentlichkeit und der betroffenen Parteien liegt. Censys kann im Laufe der Untersuchungen unseres Sicherheitsforschungsteams Schwachstellen entdecken.
Wenn eine Schwachstelle in einem Produkt oder einer Dienstleistung eines Abonnenten von Censysentdeckt wird, informiert Censys die betroffene Partei im Rahmen des Arbeitsablaufs des betroffenen Kunden über das Problem. Wird im Zuge der Sicherheitsforschung eine neue Schwachstelle entdeckt, so stimmt sich Censys mit dem Anbieter und gegebenenfalls mit CERT/CC ab, wobei der unten beschriebene Arbeitsablauf eingehalten wird.
Arbeitsablauf bei der Offenlegung von Informationen
- Censys wird jegliche Kommunikation über die Schwachstelle bis zum Abschluss des Offenlegungsprozesses vertraulich behandeln.
- Censys wird versuchen, den entsprechenden Produktanbieter per E-Mail zu kontaktieren.
- Censys wird die Details der Schwachstelle an den Anbieter weitergeben.
- Wenn eine weitere Koordinierung erforderlich ist, sendet Censys innerhalb von 15 Tagen nach dem ersten Kontaktversuch mit dem Anbieter eine Mitteilung an CERT/CC.
- Censys wird mindestens 60 Tage (maximal 90) nach den ersten Versuchen der Offenlegung in Stufe 2 einen Hinweis auf die Schwachstelle erstellen und veröffentlichen, sofern keine mildernden Umstände vorliegen. Dieser Hinweis wird der breiten Öffentlichkeit über den Blog Censysund die sozialen Medien zur Verfügung gestellt. Je nach Auswirkung kann sich Censys mit interessierten Parteien in den Medien abstimmen.
Zusätzliche Ressourcen
Die neuesten Nachrichten, Forschungsergebnisse und Entwicklungen von Censys zu den Themen Sicherheit, Forschung und Projekte finden Sie auf unserer Ressourcen-Seite und in unserem Blog.