Verantwortungsvolle Offenlegung
Zuletzt aktualisiert 0. Dezember 2021y
Wir bei Unbabel Inc. sind überzeugt von der Wichtigkeit der Sicherheit unserer Produkte und Dienstleistungen und wir schätzen die Bemühungen und die Transparenz der Sicherheitsforschungsgemeinschaft, uns Schwachstellen zu melden, die uns während der Sicherheitstests in der Entwicklungs- und Testphase möglicherweise entgangen sind. Sollten Sie eine Sicherheitslücke in einem unserer Systeme finden, möchten wir natürlich so schnell wie möglich davon erfahren, damit wir Maßnahmen zum Schutz unserer Kunden, unserer Editor Community und unseres Teams ergreifen können.
1. Einsatzregeln (RoE)
Wir erwarten von Ihnen als Sicherheitsforscher/ethischer Hacker die Einhaltung der folgenden RoE:
- Use solely the security@unbabel.com channel to report vulnerability information to us;
- Informationen über von Ihnen entdeckte Schwachstellen sollten vertraulich zwischen Ihnen und Unbabel behandelt werden;
- Wir erlauben keine authentifizierten Tests und können daher keine Zugangsdaten zur Verfügung stellen.
- Bemühen Sie sich nach Kräften, Verletzungen der Privatsphäre, Beeinträchtigungen der Benutzererfahrung, Störungen der Produktionssysteme (z. B. absichtliche DDoS-/Denial-of-Service-Angriffe) und die Zerstörung von Daten während der Sicherheitstests zu vermeiden, einschließlich Vermeiden der Ausnutzung tatsächlicher Schwachstellen, die Unbabel oder einer betroffenen Partei direkt oder indirekt schaden könnten.
2. So reichen Sie eine Meldung ein
You can report vulnerabilities to us via security@unbabel.com. Please always include a description of the vulnerability itself, where exactly did you identify this vulnerability, evidence of the issue (if applicable; screenshots, videos and similar are encouraged), as well as steps explaining how to replicate the vulnerability (we cannot reward nor acknowledge vulnerabilities we cannot verify).
3. Unser Versprechen
Wenn Sie diese Richtlinien befolgen, wenn Sie uns ein Problem melden, verpflichten wir uns dem Folgenden:
- Wir werden keine rechtlichen Schritte im Zusammenhang mit Ihrer Forschung einleiten oder verfolgen.
- Wir werden mit Ihnen zusammenarbeiten, um das Problem schnell zu verstehen und zu lösen. Dazu gehört, dass wir a) den Erhalt des Berichts innerhalb von 5 Tagen nach Einreichung bestätigen und b) unsere Schlussfolgerung zum Bericht innerhalb von 90 Tagen nach Erhalt des Berichts mitteilen.
- Wir werden Sie entsprechend dem Schweregrad der Schwachstelle, wie er sich aus unseren internen Triage-Ergebnissen ergibt, vergüten.
- Um eine Entschädigung zu erhalten, müssen Sicherheitsforscher/ethische Hacker eine Geheimhaltungsvereinbarung (NDA) unterzeichnen, eine Kopie eines gültigen Ausweises vorlegen, eine Rechnung für unseren Hauptsitz in den USA ausstellen und eine US-Steuererklärung unterschreiben.
4. Ausschlüsse
Dieses Programm ist nicht für die Meldung von Beschwerden gedacht. Es ist auch nicht gedacht zur:
- Meldung von uns bereits bekannten Problemen.
- Meldung, dass unsere Website oder einer unserer Dienste nicht verfügbar ist, oder zu DDoS-Angriffen.
- Meldung von Fehlermeldungen, die keine sensiblen Daten enthalten, oder von Fehlerverhalten, die kein Sicherheitsrisiko darstellen.
- Meldung von Phishing-E-Mails.
- Meldung von Betrugsfällen.