Beleid voor gecoördineerde bekendmaking van kwetsbaarheden

Sonos zet zich in om de gegevens en privacy van klanten te beschermen door tijdig en op een efficiënte manier onderzoek te doen naar kwetsbaarheden. We raden beveiligingsonderzoekers aan om dit beleid met betrekking tot gecoördineerde bekendmaking te volgen bij het rapporteren van kwetsbaarheden in de beveiliging. Het Security Vulnerability Response Team is verantwoordelijk voor het in ontvangst nemen en verwerken van meldingen over kwetsbaarheden. Dit beleid is van toepassing op partijen die kwetsbaarheden in onze producten ontdekken of melden. Dit beleid is gebaseerd op en verwijst naar technieken die worden gebruikt in de ISO-norm voor de bekenmaking van kwetsbaarheden ISO/IEC 29147.

Vereisten:

Onder dit beleid houdt 'onderzoek naar kwetsbaarheden' activiteiten in waarbij beveiligingsonderzoekers:

• het Sonos Security Team zo snel mogelijk informeren na het ontdekken van een daadwerkelijke/potentiële beveiligingskwetsbaarheid;
• zich te goeder trouw inspannen om schendingen van de privacy te voorkomen, de gebruikerservaring te behouden, onderbrekingen van productiesystemen te voorkomen en de vernietiging of manipulatie van gegevens te voorkomen. Beveiligingstesten die de wet overtreden, kunnen leiden tot een mogelijk strafrechtelijk of juridisch onderzoek. Zie het gedeelte Juridische kwesties en bescherming.
• kwetsbaarheden privé houden tijdens de termijn voor de gecoördineerde kwetsbaarhedenbekendmaking en Sonos een redelijke hoeveelheid tijd geven om het probleem op te lossen voordat de kwetsbaarheid publiekelijk bekend wordt gemaakt.

Dekking met betrekking tot kwetsbaarheden:

Dit beleid dekt alle kwetsbaarheden in alle onderling verbonden producten, platformen en de mobiele apps van Sonos waarmee deze worden bediend. Hieronder vallen kwetsbaarheden in de firmware, mobiele applicaties en cloudservices.

Iedere service die hierboven niet uitdrukkelijk wordt vermeld, zoals verbonden services, vallen buiten de scope en Sonos geeft geen toestemming om deze te testen. Daarnaast vallen kwetsbaarheden die worden aangetroffen in systemen van onze leveranciers buiten die scope van dit beleid. Deze moeten rechtstreeks worden gemeld aan de leverancier op basis van hun bekendmakingsbeleid (indien aanwezig). Als je niet zeker weet of een systeem wel of niet binnen de scope valt, neem dan contact met ons op via security@sonos.com. Opmerking: Beveiligingsonderzoekers moeten het externe beleid voor het bekendmaken van kwetsbaarheden van alle verbonden services van derden bekijken om te bepalen of het testen van die services in toegestaan.

Melding van kwetsbaarheden:

We stimuleren het op verantwoorde wijze bekendmaken van kwetsbaarheden aan ons Security Vulnerability Response Team.
Er mag anoniem melding worden gemaakt.
Kwetsbaarheden kunnen worden gemeld door een e-mail te sturen naar security@sonos.com met 'Vulnerability Report' in de onderwerpregel.

We vragen beveiligingsonderzoekers met klem om versleutelde communicatiekanalen te gebruiken voor het indienen van beveiligingsmeldingen. Onze openbare PGP-sleutel is hier te vinden.

Meldingen moeten zoveel mogelijk informatie bevatten. De volgende informatie zal ons helpen om jouw melding zo snel mogelijk te beoordelen:

• Beschrijving van problemen en potentiële impact
• Betrokken product(en) en softwareversie(s)
• Aanwijzingen voor het reproduceren van het probleem
• Een proof-of-concept (PoC)
• Voorgestelde maatregelen voor beperking of herstel, indien van toepassing

Wat je van ons kunt verwachten:

• Na het melden van een kwetsbaarheid kunnen externe partijen binnen 3 werkdagen een bevestiging van hun melding verwachten.
• We houden externe partijen gedurende het afhandelingsproces elke 2-3 weken op de hoogte van de status van hun melding, en melden ook wanneer de kwetsbaarheid is verholpen.
• We kennen een urgentieniveau toe aan de kwetsbaarheid en geven er prioriteit aan op basis van het risico dat de kwetsbaarheid vormt voor de gegevens en privacy van onze klanten.

Erkenning:

Hoewel we op dit moment geen bug bounty-programma hebben voor externe beveiligingsonderzoekers, hebben we wel een plek waar we erkenning geven voor verantwoorde bekendmaking: de pagina Erkenning van beveiligingsonderzoekers.

Juridische kwesties en bescherming:

We zullen personen die te goeder trouw kwetsbaarheden melden beschermen. We zullen geen juridische stappen ondernemen tegen personen die kwetsbaarheden melden in overeenstemming met dit beleid. Tenzij de melder expliciet om erkenning vraagt, zullen we hun identiteit vertrouwelijk houden, tenzij anders vereist door de wet.

Tot slot:

We zijn van mening dat verantwoorde bekendmaking cruciaal is voor de bescherming van de gegevens en privacy van onze klanten. Dit beleid beschrijft hoe wij ons inzetten voor het tijdig en op efficiënte wijze aanpakken van kwetsbaarheden. We moedigen alle partijen aan om kwetsbaarheden te melden aan ons Security Vulnerability Response Team en om met ons samen te werken om onze klanten te beschermen.