SharkNinja und seine verbundenen Unternehmen („SharkNinja“) verpflichten sich, die Vertraulichkeit der personenbezogenen Daten von Verbrauchern und Mitarbeitern, die Verfügbarkeit ihrer Websites und Informationssysteme sowie die Sicherheit unserer mit dem Internet verbundenen Geräte zu schützen. Wir integrieren Sicherheit in unsere Plattformen und vernetzten Produkte und halten uns an die geltenden IoT-Sicherheitsanforderungen. Diese Richtlinie soll Sicherheitsforschern klare Leitlinien für die Durchführung von Aktivitäten zur Erkennung von Schwachstellen geben und unsere Präferenzen hinsichtlich der Art und Weise vermitteln, wie entdeckte Schwachstellen zur Überprüfung an uns gemeldet werden sollten. Wir empfehlen Ihnen, uns zu kontaktieren, um Schwachstellen in unseren Websites, Systemen und Produkten zu melden
Wenn Sie sich bei Ihrer Sicherheitsforschung nach bestem Wissen und Gewissen bemühen, diese Richtlinie einzuhalten, betrachten wir Ihre Forschung nur insoweit als autorisiert, wie sie alle Bedingungen dieser Richtlinie erfüllt und in den unten definierten Geltungsbereich fällt, und wir werden mit Ihnen zusammenarbeiten, um gemeldete Probleme schnell zu verstehen und zu beheben. SharkNinja wird keine rechtlichen Schritte im Zusammenhang mit Ihrer Forschung empfehlen oder einleiten, sofern Sie den Geltungsbereich dieser Richtlinie nicht überschritten, nicht in böser Absicht gehandelt oder gegen geltendes Recht verstoßen haben
Bitte beachten Sie, dass SharkNinja kein Bug-Bounty-Programm betreibt und keine Belohnung oder Entschädigung im Austausch für die Meldung potenzieller Sicherheitsbedenken oder Schwachstellen anbietet.
Richtlinien
SharkNinja empfiehlt die folgenden Richtlinien für Forscher, die eine Schwachstelle melden oder legitime Forschung betreiben. Im Rahmen dieser Richtlinie bezeichnet „Forschung“ Aktivitäten, bei denen Sie:
- Benachrichtigen Sie uns so schnell wie möglich, nachdem Sie ein tatsächliches oder potenzielles Sicherheitsproblem entdeckt haben
- alle Anstrengungen unternehmen, um Datenschutzverletzungen, eine Beeinträchtigung der Benutzererfahrung, Störungen der Produktionssysteme sowie die Zerstörung oder Manipulation von Daten zu vermeiden
- Exploits nur in dem Umfang nutzen, der zur Bestätigung des Vorliegens einer Schwachstelle erforderlich ist
- keinen Exploit nutzen, um Daten zu kompromittieren oder zu exfiltrieren, einen dauerhaften unbefugten Zugriff zu errichten oder den Exploit zu nutzen, um auf andere Systeme zu gelangen
- Uns eine angemessene Frist zur Behebung des Problems einräumen, bevor Sie es öffentlich bekannt geben
Sobald Sie festgestellt haben, dass eine Schwachstelle besteht, oder auf sensible Daten stoßen (einschließlich personenbezogener Daten, Finanzdaten oder geschützter Informationen oder Geschäftsgeheimnisse einer Partei), müssen Sie Ihren Test abbrechen, uns unverzüglich benachrichtigen und diese Daten niemandem sonst offenlegen. Sie müssen alle derartigen sensiblen Daten in Ihrem Besitz so bald wie möglich nach der Benachrichtigung von SharkNinja dauerhaft löschen oder vernichten und diese Vernichtung auf Anfrage bestätigen. Sie verpflichten sich, alle Details zu einer entdeckten Sicherheitslücke vertraulich zu behandeln, bis SharkNinja bestätigt hat, dass die Sicherheitslücke behoben wurde, oder die öffentliche Bekanntgabe schriftlich genehmigt hat
Eine Sicherheitslücke melden
Bitte senden Sie eine E-Mail an [email protected] um eine Sicherheitslücke zu melden. Um uns bei der Einstufung und Priorisierung der Meldungen zu helfen, empfehlen wir, dass Ihr Bericht Folgendes enthält:
- Wann die Sicherheitslücke oder das Problem festgestellt wurde
- Beschreibung des Systems oder Produkts, bei dem die Sicherheitslücke entdeckt wurde
- Beschreibung der Schritte, die erforderlich sind, um die Sicherheitslücke zu reproduzieren
- Vorschläge oder Ideen zur Behebung der Sicherheitslücke
SharkNinja verpflichtet sich, alle Meldungen innerhalb von 3 Werktagen zu bestätigen, und bedankt sich für die Teilnahme an diesem Programm.
Bei Offenlegungen von Sicherheitslücken im Zusammenhang mit vernetzten (oder „IoT“) Produkten wird SharkNinja regelmäßig Updates bereitstellen, bis die gemeldete Sicherheitslücke behoben ist.
Geltungsbereich
Der Geltungsbereich dieses Programms umfasst alle Websites von SharkNinja, die sich im Besitz des Unternehmens befinden oder von diesem lizenziert sind; alle mit dem Internet verbundenen Geschäftssysteme; sowie mit dem Internet verbundene Produkte und zugehörige mobile Anwendungen. Das Programm umfasst nicht:
- Social-Engineering- oder Phishing-Kampagnen, die sich gegen Mitarbeiter von SharkNinja richten
- Denial-of-Service-Angriffe (DoS) auf Websites oder Geschäftsanwendungen von SharkNinja
- Alle anderen unbefugten Aktivitäten mit böswilliger Absicht
Bitte wenden Sie sich bei Fragen zu diesem Programm oder zur Meldung einer Sicherheitslücke an SharkNinja unter [email protected]