Richtlinie zur Offenlegung von Schwachstellen EGLO Leuchten GmbH

16. Juli 2024

Einleitung 

Die folgende Richtlinie gilt für alle Sicherheitslücken, die Sie uns melden möchten. Wir empfehlen Ihnen, diese Richtlinie vollständig zu lesen und gemäß den Bestimmungen zu handeln. So kann sichergestellt werden, dass Sicherheitslücken korrekt identifiziert und behandelt werden. Die EGLO Leuchten GmbH schätzt Ihre Zeit und Mühe bei der Meldung von Sicherheitslücken. Bitte beachten Sie, dass keine monetäre Entschädigung für die Meldung von Sicherheitslücken vorgesehen ist.

Autorisierung

Wenn Sie nach bestem Wissen und Gewissen bemüht sind, diese Richtlinie während Ihrer Sicherheitsrecherche zu befolgen, werden wir Ihre Recherche als autorisiert betrachten und mit Ihnen zusammenarbeiten, um das Problem schnellstmöglich zu erkennen und zu beheben. Die EGLO Leuchten GmbH wird keine rechtlichen Schritte im Zusammenhang mit Ihren Aktivitäten zur Identifizierung von Schwachstellen in unseren Systemen einleiten, sofern Sie die Vorgaben dieser Richtlinie einhalten.

Umfang

Diese Richtlinie gibt Teilnehmern die Möglichkeit, potenzielle Schwachstellen in den Systemen, Geräten und Produkten unserer Organisation zu untersuchen, einschließlich:

• AwoX Smart CONTROL
• AwoX HomeControl App
• Smart Light Produkte

mit guten Absichten oder Informationen über eine entdeckte Schwachstelle weiterzugeben. Schwachstellen, die in Systemen von Drittanbietern gefunden werden, sind vom Umfang ausgeschlossen und sollten direkt dem Anbieter gemäß dessen eigener Offenlegungsrichtlinie gemeldet werden (sofern zutreffend).

Meldung

Wenn Sie denken, eine Sicherheitslücke gefunden zu haben, senden Sie bitte Ihren Bericht an die folgende E-Mail-Adresse: privacy@awox.com

Ihr Bericht sollte folgende Details enthalten:

• Die Seite, auf der die Schwachstelle beobachtet werden kann
• Eine kurze Beschreibung der Art der Schwachstelle
• Schritte zur Reproduktion: Ein gutartiger, nicht-destruktiver Proof of Concept. Dies trägt dazu bei, dass der Bericht schnell und genau bearbeitet werden kann und verringert die Wahrscheinlichkeit von Doppelmeldungen oder der böswilligen Ausnutzung einiger Schwachstellen, wie z. B. der Übernahme von Subdomains.

Was Sie von uns erwarten können

Nachdem Sie Ihren Bericht eingereicht haben, werden wir Ihnen innerhalb eines Monats antworten und versuchen, Ihren Bericht innerhalb von 180 Tagen zu bearbeiten. Wir werden Sie über unseren Fortschritt auf dem Laufenden halten.

Die Priorität der Abhilfemaßnahmen wird anhand der Auswirkungen, Schwere und Komplexität der Schwachstelle bewertet. Berichte über Schwachstellen können einige Zeit in Anspruch nehmen, um gesichtet bzw. behoben zu werden. Sie können sich nach dem Status erkundigen, sollten dies jedoch nicht häufiger als alle 14 Tage tun, damit unsere Teams sich auf die Behebung der Schwachstelle konzentrieren können.

Wir werden Sie benachrichtigen, wenn die gemeldete Schwachstelle behoben wurde, und Sie möglicherweise einladen zu bestätigen, dass die Behebung die Schwachstelle entsprechend erfolgt ist.

Sobald die Schwachstelle behoben wurde, begrüßen wir Anfragen zur Offenlegung Ihres Berichts. Um eine einheitliche Anleitung für betroffene Nutzer zu bieten, stimmen Sie bitte die öffentliche Berichterstattung mit uns ab.

Richtlinien

• gegen geltende Gesetze oder Vorschriften zu verstoßen.
• auf unnötige, übermäßige oder erhebliche Datenmengen zuzugreifen.
• Daten in den Systemen oder Diensten der Organisation zu verändern.
• invasive oder zerstörerische Scan-Tools mit hoher Intensität zu verwenden, um Schwachstellen zu finden.
• Versuche oder Meldungen jeglicher Form zur Dienstverweigerung zu unternehmen, z. B. Überlastung eines Dienstes mit einer großen Anzahl von Anfragen.
• Dienste oder Systeme der Organisation zu stören.
• Berichte einzureichen, in denen nicht ausnutzbare Schwachstellen aufgeführt sind, oder Berichte, die darauf hinweisen, dass die Dienste nicht vollständig mit den "Best Practices" übereinstimmen, z. B. fehlende Sicherheits-Header.
• Berichte über Schwachstellen in der TLS-Konfiguration zu übermitteln, z. B. Unterstützung einer "schwachen" Cipher-Suite oder das Vorhandensein von TLS1.0-Unterstützung.
• Schwachstellen oder damit zusammenhängende Details auf andere Weise zu verteilen, als in der veröffentlichten security.txt beschrieben.
• Social Engineering, "Phishing" oder physische Angriffe auf das Personal oder die Infrastruktur der Organisation durchzuführen.
• eine finanzielle Entschädigung für die Offenlegung von Schwachstellen zu verlangen.

• stets die Datenschutzbestimmungen einzuhalten und dürfen die Privatsphäre der Nutzer, Mitarbeiter, Auftragnehmer, Dienste oder Systeme der Organisation nicht verletzen. Sie dürfen z. B. keine von den Systemen oder Diensten abgerufenen Daten weitergeben, weiterverteilen oder nicht ordnungsgemäß sichern.
• alle Daten, die Sie im Rahmen Ihrer Nachforschungen erhalten haben, sicher zu löschen, sobald sie nicht mehr benötigt werden oder innerhalb eines Monats nach Behebung der Schwachstelle, je nachdem, was zuerst eintritt (oder wie es das Datenschutzgesetz vorschreibt).