Richtlinie zur koordinierten Offenlegung von Sicherheitslücken

Sonos ist darauf bedacht, die Daten und Privatsphäre seiner Kund:innen zu schützen, indem Untersuchungen auf Sicherheitslücken zeitnah und effizient durchgeführt werden. Wir empfehlen Sicherheitsforschern, diese koordinierte Offenlegungsrichtlinie zu befolgen, wenn sie Sicherheitslücken melden. Das Security Vulnerability Response Team ist für die Entgegennahme und Bearbeitung von Meldungen über Sicherheitslücken zuständig. Diese Richtlinie gilt für Parteien, die Sicherheitslücken in unseren Produkten entdecken oder melden. Diese Richtlinie basiert auf den Verfahren der Norm ISO/IEC 29147 in Bezug auf die Offenlegung von Sicherheitslücken.

Anforderungen:

Im Rahmen dieser Richtlinie bezeichnet die „Untersuchung auf Sicherheitslücken“ Aktivitäten, bei denen Sicherheitsforscher:

• Das Sonos Security Team so schnell wie möglich benachrichtigen, sobald sie eine tatsächliche/potenzielle Sicherheitslücke entdecken.
• Alles in ihrer Kraft stehende unternehmen, um Datenschutzverletzungen zu verhindern, ein optimales Nutzererlebnis zu bewahren, Unterbrechungen von Produktionssystemen vorzubeugen und eine Zerstörung oder Manipulation von Daten zu verhindern. Sicherheitstests, die gegen ein Gesetz verstoßen, können zu strafrechtlichen oder gerichtlichen Ermittlungen führen. Näheres dazu im Abschnitt „Rechtsfragen und Rechtsschutz“.
• Halten Sie Sicherheitslücken während des Zeitrahmens der koordinierten Offenlegung geheim und gewähren Sie Sonos eine angemessene Zeitspanne, um das Problem vor der Veröffentlichung zu beheben.

Berichterstattung von Sicherheitslücken:

Diese Richtlinie gilt für alle Sicherheitslücken verbundener Sonos Produkte, Plattformen und der zur Steuerung genutzten mobilen Apps. Dies beinhaltet Sicherheitslücken in der Firmware, in mobilen Apps und Cloud Services.

Alle oben nicht ausdrücklich aufgeführte Dienste, einschließlich verbundener Dienste, sind vom Geltungsbereich ausgeschlossen und werden von Sonos nicht getestet. Darüber hinaus fallen Sicherheitslücken in Systemen unserer Anbieter nicht in den Geltungsbereich dieser Richtlinie und sollten direkt an den Anbieter gemäß seiner Offenlegungsrichtlinie (falls vorhanden) gemeldet werden. Falls Sie sich nicht sicher sind, ob ein System in den Geltungsbereich fällt, nehmen Sie bitte unter security@sonos.com. Kontakt zu uns auf. Hinweis: Sicherheitsforscher sollten die externen Richtlinien zur Offenlegung von Sicherheitslücken aller angeschlossenen Dienste von Drittanbietern einsehen, um den zulässigen Testumfang dieser Dienste zu bestimmen.

Melden von Sicherheitslücken:

Wir ermutigen eine verantwortungsbewusste Offenlegung von Sicherheitslücken an unser Security Vulnerability Response Team.
Berichte können anonym übermittelt werden.
Sicherheitslücken können mit der Betreffzeile „Bericht zu Sicherheitslücken“ per E-Mail an security@sonos.com gemeldet werden.

Wir legen Sicherheitsforschern dringend nahe, bei der Übermittlung von Berichten zu Sicherheitslücken die verschlüsselten Kommunikationskanäle zu nutzen. Auf unseren PGP-Sicherheitsschlüssel kann hier zugegriffen werden.

Die Berichte sollten so viele Informationen wie möglich enthalten. Die folgenden Informationen helfen uns dabei, Ihren Bericht so schnell wie möglich zu bearbeiten:

• Problembeschreibung und potenzielle Auswirkungen
• Betroffene(s) Produkt(e) und Software Version(en)
• Anweisungen zur Reproduktion des Problems
• Ein Proof of Concept (PoC)
• Empfohlene Maßnahmen zur Minderung der Auswirkungen oder Behebung des Problems, soweit angemessen

Was Sie von uns erwarten können:

• Im Anschluss an die Meldung einer Sicherheitslücke wird der Erhalt des Berichts innerhalb von 3 Geschäftstagen bestätigt.
• Wir werden die externen Parteien während des gesamten Bearbeitungsprozesses alle 2 bis 3 Wochen über den Status ihres Berichts informieren, einschließlich sobald die Sicherheitslücke behoben wurde.
• Wir weisen der Sicherheitslücke einen Schweregrad zu und priorisieren sie nach dem Risiko, das sie für die Daten und die Privatsphäre unserer Kund:innen darstellt.

Anerkennungen:

Wir haben derzeit kein Bug-Bounty-Programm für externe Sicherheitsforscher. Allerdings würdigen wir auf unserer Anerkennungsseite für Sicherheitsforscher die verantwortungsbewusste Offenlegung von Sicherheitslücken.

Rechtsfragen und Rechtsschutz:

Wir sind verpflichtet, diejenigen zu schützen, die in gutem Glauben Sicherheitslücken melden. Wir unternehmen keine rechtlichen Schritte gegen Personen, die uns in Übereinstimmung mit dieser Richtlinie Sicherheitslücken melden. Sofern die den Bericht übermittelnde Person nicht ausdrücklich eine Offenlegung ihrer Identität anfordert, halten wir ihre Identität streng vertraulich, es sei denn, wir sind gesetzlich zur Offenlegung verpflichtet.

Fazit:

Wir vertreten die Ansicht, dass eine verantwortungsvolle Offenlegung für den Schutz der Daten und der Privatsphäre unserer Kund:innen von entscheidender Bedeutung ist. In dieser Richtlinie wird unsere Verpflichtung zur rechtzeitigen und effizienten Behebung von Sicherheitslücken dargelegt. Wir möchten alle Parteien darum bitten, Sicherheitslücken an unser Security Vulnerability Response Team zu melden und mit uns zusammenzuarbeiten, um unsere Kund:innen zu schützen.