Erkennung von Sicherheitsrisiken

Die Informationen auf dieser Seite richten sich an Sicherheitsexperten, die daran interessiert sind, das Sicherheitsteam von Zscaler verantwortungsvoll auf einschlägige Schwachstellen hinzuweisen.

Programm zur Aufdeckung von Schwachstellen

Letzte Aktualisierung: 21. September 2022

Einführung

Sicherheit erfordert Transformation, und der beste Weg zur Verbesserung eines Sicherheitsprogramms ist der direkte Austausch mit unseren Usern. Dieser Austausch und der feste Glaube an die Zusammenarbeit mit der Sicherheits-Community bilden das Fundament, auf dem die Gewährleistung einer sicheren Umgebung für alle User aufbaut.

Wenn Sie glauben, in einem Produkt, einem Service oder einer Anwendung von Zscaler eine Sicherheitsschwachstelle entdeckt zu haben, bitten wir Sie dringend, uns so schnell wie möglich zu informieren. Wir bitten Sie, solche Meldungen vertraulich zu behandeln, bis wir das Problem gelöst haben.

Im Gegenzug sind wir bemüht, alle Meldungen zeitnah zu überprüfen und zu beantworten. Unser Partner beim Aufspüren von Programmfehlern, Bugcrowd, wird sich zunächst mit Ihnen in Verbindung setzen, um Ihre Meldung zu sichten. Zscaler wird gegen Sie keine gerichtlichen oder strafrechtlichen Schritte für die Aufdeckung von Sicherheitsproblemen einleiten, solange Sie 1.) die hier aufgeführten Richtlinien befolgen: 2.) sich an die Standard Disclosure Terms von Bugcrowd halten; 3.) weder Sicherheit noch Datenschutz unserer Benutzer gefährden; 4.) nach Behebung der Probleme keine vertraulichen Daten vernichten, die Sie im Zuge Ihrer Nachforschungen bei Zscaler erfasst haben; und 5.) den nachstehenden Geheimhaltungsbedingungen von Zscaler zustimmen und sich daran halten.

Geheimhaltung

Durch die Teilnahme an diesem Programm und/oder die Meldung einer Sicherheitslücke an Zscaler verpflichten Sie sich zur Einhaltung der nachstehenden Bestimmungen.

„Vertrauliche Informationen“ bedeutet (i) alle Informationen von Zscaler, in deren Besitz Sie im Zuge der Sicherheitstests oder durch Ihre Teilnahme am Programm zur Offenlegung von Schwachstellen gelangt sind, (ii) alle Informationen, die Ihnen in Verbindung mit dem Bugcrowd Bounty Brief offengelegt wurden, und (ii) alle von Ihnen eingereichten Meldungen. Durch Ihre Teilnahme an Tests oder am Programm zur Offenlegung von Schwachstellen von Zscaler erhalten Sie keine Rechte an vertraulichen Informationen oder geistigem Eigentum von Zscaler.

Zu den vertraulichen Informationen gehören keine Informationen, die (i) ohne Ihr Verschulden und ohne Verstoß gegen diese Bestimmungen öffentlich zugänglich sind oder werden, (ii) unabhängig und ohne Verwendung von oder Bezugnahme auf vertrauliche Informationen entwickelt wurden oder (iii) Ihnen aus einer Quelle bekannt sind oder bekannt werden, die nicht durch Geheimhaltungsverpflichtungen gebunden ist.

Vor der Durchführung von Tests oder der Übermittlung von Ergebnissen verpflichten Sie sich, (i) vertrauliche Informationen streng vertraulich zu behandeln, (ii) diese vertraulichen Informationen vor unbefugter Nutzung oder Offenlegung zu schützen, (iii) diese vertraulichen Informationen nicht an Dritte, auch nicht an die Öffentlichkeit, weiterzugeben, (iv) diese vertraulichen Informationen nicht für andere Zwecke als die Teilnahme am Programm zur Offenlegung von Schwachstellen von Zscaler zu verwenden und (v) Zscaler umgehend zu benachrichtigen, wenn Sie einen Verlust oder eine unbefugte Offenlegung von vertraulichen Informationen feststellen. Ungeachtet des Vorstehenden können Sie vertrauliche Informationen von Zscaler über das Bugcrowd-Partnerportal an Zscaler oder an Bugcrowd weitergeben.

Vielen Dank für Ihre Hilfe!

Umfang und Regeln des Schwachstellenprogramms

Innerhalb des Umfangs

Wir sind hauptsächlich an Informationen über die folgenden Kategorien von Schwachstellen interessiert:

  • Offenlegung sensibler Daten – Speicherung von Cross Site Scripting (XSS), SQL-Injektion (SQLi) usw.
  • Probleme im Zusammenhang mit Authentifizierung und Session-Management
  • Remotecodeausführung
  • Besonders raffinierte Schwachstellen oder Einzelfälle, die sich nicht eindeutig kategorisieren lassen – zeigen Sie uns Ihre Detektivarbeit.

Außerhalb des Umfangs

Die folgenden Kategorien liegen außerhalb des Geltungsbereichs unseres Programms zur Aufdeckung von Schwachstellen:

  • Denial of Service (DoS) – durch Netzwerk-Traffic, Ressourcen-Auslastung oder andere Methoden
  • User-Aufzählung
  • Probleme, die nur bei alten Browsern/Plugins oder überholten Software-Browsern auftreten
  • Phishing oder Social Engineering bei Zscaler-Mitarbeitern, -Usern oder -Kunden
  • Systeme oder Probleme im Zusammenhang mit der von Zscaler verwendeten Technologie von Drittanbietern
  • Offenlegung von bekannten öffentlichen Dateien und anderen Informationen, die kein wesentliches Risiko darstellen (z. B. robots.txt)
  • Angriffe oder Schwachstellen, die auf einen infizierten Computer eines Users zurückzuführen sind

Es wird von Ihnen erwartet, dass Sie bei Ihren Nachforschungen verantwortungsvoll vorgehen. Bei Entdeckung eines öffentlich zugänglichen Passwortes oder Schlüssels sollten Sie beispielsweise den Schlüssel nicht verwenden, um das Ausmaß der Zugriffsgewährung zu testen, und keine Daten herunterladen oder exfiltrieren, um nachzuweisen, dass es sich um einen aktiven Schlüssel handelt. Bei Entdeckung einer erfolgreichen SQL-Injection sollten Sie die Schwachstelle nicht über jene Anfangsschritte hinaus ausnutzen, die Sie zur Verdeutlichung Ihres Proof-of-Concept benötigen.

Übermäßiges Exfiltrieren oder Herunterladen von Zscaler-Daten oder Zahlungsforderungen als Gegenleistung für die Vernichtung von Zscaler-Daten werden als außerhalb des Umfangs dieses Programms erachtet. Zscaler behält sich in diesem Fall alle Rechte, Rechtsmittel und Maßnahmen vor, um sich selbst und seine User zu schützen.

Vergütung für die Aufdeckung von Schwachstellen

Für die Meldung von Schwachstellen, die in den Geltungsbereich des Programms fallen, werden unter Umständen Prämien gezahlt. Bugcrowd-Sicherheitsexperten können für ihre Beiträge auch Kudos-Punkte erhalten. Wenn Sie daran interessiert sind, uns im Rahmen unseres internen Forschungsprogramms als Sicherheitsexperte zu unterstützen, wenden Sie sich mit Ihrer Anfrage und Ihrer Begründung bitte an [email protected].

Zscaler entscheidet nach alleinigem Ermessen, welche Meldungen für eine Prämie in Frage kommen.

Reporting von Sicherheitsschwachstellen

Bitte verwenden Sie dieses Formular, um Sicherheitsschwachstellen über das Portal unseres Partners Bugcrowd an Zscaler zu melden. Zscaler wendet im Regelfall den CVSS Score zur Bewertung von Schwachstellen an.