Richtlinien zur Offenlegung von Sicherheitsrisiken

Shenzhen Ugreen Group Limited (im Folgenden als „Wir“ oder „Ugreen“ bezeichnet) legt als Hersteller von NAS-Produkten größten Wert auf die Sicherheit der eigenen Produkte und der Dienstleistungen und misst dem Datenschutz und der Datensicherheit einen hohen Stellenwert bei. Die Handhabung der einzelnen Sicherheitsrisiken und die Optimierung der Sicherheit unserer Dienstleistung können nicht von der Zusammenarbeit aller beteiligten Parteien getrennt werden. Wenn Sie bei der Nutzung der NAS-Dienste ein mögliches Sicherheitsrisiko entdecken, bitten wir Sie, uns dies so schnell wie möglich nach diesen Richtlinien (zur Offenlegung von Sicherheitsrisiken) mitzuteilen. Wir versichern Ihnen, dass jedes gemeldete Problem von unseren Spezialisten nachverfolgt, analysiert und behandelt wird, und wir werden Ihnen zeitnah eine Rückmeldung geben.

 

1. Meldung und Bearbeitungsprozess von Sicherheitsrisiken

[Meldung von Sicherheitsrisiken]

Wenn Sie glauben, dass NAS-Produkte Sicherheitsrisiken oder Sicherheitsverletzungen aufwerfen, die gemeldet werden müssen, füllen Sie bitte das folgende Formular zur Meldung von Sicherheitsrisiken aus.

 

[Bearbeitungsprozess von Sicherheitsrisiken]

Schritt 1: Der Hinweisgeber muss ausführliche Informationen über die Sicherheitsrisiken liefern.

Schritt 2: Ugreen prüft bzw. bestätigt die erhaltenen Informationen über die Sicherheitsrisiken und wertet sie aus.

Schritt 3: Ugreen behebt die Sicherheitsrisiken und validiert die Wiederherstellung der NAS-Produkten.

Schritt 4: Aktualisierung und Bereitstellung einer neuen Version der NAS-Produkte.

Schritt 5: Rückmeldung an den Hinweisgeber mit den Bearbeitungsergebnissen.

Schritt 6: Beobachtung der Stabilität der NAS-Produkten nach der Aktualisierung.

 

[Zeitraum der Prüfung auf Sicherheitsrisiken]

1. Die Meldung wird innerhalb eines Werktages nach Erhalt bestätigt und allgemein bewertet.

2. Innerhalb von 3 Werktagen wird eine ausführliche Bewertung abgeschlossen und das Sicherheitsrisiko behoben oder ein Behebungsplan initiiert.

 

[Zeitraum der Behebung & deren Abschluss]

1. Kritische Sicherheitsrisiken werden innerhalb von 3 Werktagen nach Abschluss der Bewertung behoben.

2. Sicherheitsrisiken mit hohem Risiko werden innerhalb von 7 Werktagen nach Abschluss der Bewertung behoben.

3. Sicherheitsrisiken mit mittlerem Risiko werden innerhalb von 30 Werktagen nach Abschluss der Bewertung behoben.

4. Sicherheitsrisiken mit geringem Risiko werden innerhalb von 60 Werktagen nach Abschluss der Bewertung behoben.

Bestimmte Sicherheitsrisiken unterliegen Umgebungs- oder Hardwarebeschränkungen, und die endgültige Behebungszeit hängt von der konkreten Situation ab.

Für gravierende oder besonders schwerwiegende Sicherheitsrisiken wird ein separates Emergency Security Bulletin herausgegeben.

 

2. Standard der Einstufung von Sicherheitsrisiken

Je nach Gefährdung werden die Sicherheitsrisiken in vier Stufen eingeteilt:  kritische Risiken, hohe Risiken, mittlere Risiken und geringe Risiken. Nachdem wir eine Meldung über ein Sicherheitsrisiko erhalten,  beziehen wir auf ISO/IEC 30111, um das Problem im Rahmen unseres internen Prozesses zu beheben. Alle gemeldeten Sicherheitsrisiken werden nach den Kriterien des Common Vulnerability Scoring System CVSS 3.1 bewertet.

 

 

[Kritische Sicherheitsrisiken]

1. Direkter Fernzugriff auf Systemberechtigungen (Serverberechtigungen, Klientenberechtigungen, intelligente Geräte), einschließlich, aber nicht beschränkt auf die Ausführung von willkürlichem Code, die Ausführung beliebiger Befehle, das Hochladen und der Einsatz von Trojanern über Webshell.

2. Das Kernsystem der Dienstleistung weist logische Planungsfehler auf, einschließlich, aber nicht beschränkt auf die Änderung von Passwörtern für Konten ohne jegliche Schutzbeschränkungen, fremde Anmeldung bei Konten usw.

3. Risiken, die direkt zu gravierenden Informationslecks im Online-Geschäft führen, einschließlich, aber nicht beschränkt auf Schwachstellen durch SQL-Injection in der Haupt-DB.

4. Mobiles Endgerät: Sicherheitsrisiken bei der Remote-Code-Ausführung, die sich ohne Interaktion direkt auf eine große Anzahl von Benutzern auswirken kann.

5. Geräteseitig: Fernzugriff auf Berechtigungen zur Geräteausführung (z. B. Herunterladen von anderen NAS-Benutzerdaten, Fernzugriff auf Geräte usw.) in der Internetumgebung; Sicherheitsrisiken bei der Fernausführung von Befehlen in der Internetumgebung ohne Interaktion.

 

 

【Große Sicherheitsrisiken】

1. Sicherheitsrisiken, die unmittelbar zur Offenlegung vertraulicher Informationen auf Online-Servern führen, sind u. a. die Offenlegung des Quellcodes des Kernsystems, das Herunterladen vertraulicher Server-Protokolldateien usw.

2. Sicherheitsrisiken, die eine unbefugte Nutzung der Identität anderer Personen für alle funktionalen Vorgänge ermöglichen, sowie gravierende oder sensible unbefugte Vorgänge im Kerngeschfäftsystem.

3. Unbefugter Zugriff auf die Verwaltungsplattform und die Nutzung von Administratorfunktionen, einschließlich, aber nicht beschränkt auf vertrauliche Anmeldedaten für das Administratorkonto im Hintergrund. Die Aktivität der entsprechenden Plattform, die Benutzerbasis, die funktionale Bedeutung sowie die Vertraulichkeit der Benutzerdaten werden als Bewertungskriterien für Sicherheitsrisiken mit hohem Risiko betrachtet.

4. Sicherheitsrisiken mit hohem Risiko für Datenlecks. Einschließlich, aber nicht beschränkt auf das Leak vertraulicher Daten, die direkt ausgenutzt werden können, und Sicherheitsrisiken, die zum Leak einer großen Menge an Benutzerdaten führen können.

5. Sicherheitsrisiken bei SSRF mit Echos, die auf das Ugreen-Intranet zugreifen können.

6. Mobiles Endgerät: Anwendungen von Drittanbietern, die über die Anwendung die Funktionen des mobilen Klienten aufrufen, um riskante Operationen durchzuführen (z. B. Lesen und Schreiben von Dateien, Lesen und Schreiben von SMS und Lesen und Schreiben von Klientendaten), und es besteht ein hohes Risiko, dass vertrauliche Informationen preisgegeben werden.

7. Geräteseitig: Erlangung von Geräteausführungsprivilegien (z. B. Herunterladen anderer NAS-Benutzerinformationen, Fernzugriff auf das Gerät usw.) in der nahen Quelle oder im LAN, nicht-interaktive Ausführung von Fernbefehlen in der nahen Quelle oder im LAN. 8. Geräteseitig: Sicherheitsrisiken, die aus der Ferne eine dauerhafte Dienstverweigerung auf Geräten bewirken, sind u. a. Remote-Denial-of-Service-Angriffe auf Systemgeräte (Geräte können nicht mehr verwendet werden, werden vollständig und dauerhaft beschädigt oder das gesamte System muss neu programmiert werden), und die Angriffe erlauben keinen physischen Kontakt mit Geräten, und die Angriffe müssen schnell in Serien reproduziert werden.

 

【Mittlere Sicherheitsrisiken】

1. Gewöhnliches Datenleck, einschließlich, aber nicht beschränkt auf das Passwort des Klartextspeichers des mobilen Endgeräts, Quellcode-Kompressionspaketen, die das vertrauliche Informationen des Servers oder der Datenbank enthalten, herunterzuladen.

2. Die im System vorhandenen logischen Planungsfehler, wie z.B. Sicherheitsrisiken bei Zahlungen usw.

3. Sicherheitsrisiken, die durch schwache Mechanismen zur Authentifizierung verursacht werden, einschließlich, aber nicht beschränkt auf vertrauliche Funktionen wie Captcha, die durch Brute Force-Angriffe geknackt werden können, Anmeldeoberfläche ohne Captcha, usw.

4. Sicherheitsrisiko bei SSRF ohne Echo.

5. Sicherheitsrisiken, die eine Interaktion erfordern, um Informationen zur Benutzeridentität zu erhalten, einschließlich, aber nicht beschränkt auf CSRF für vertrauliche Vorgänge, Speicher-XSS, JSONP-Hijacking für vertrauliche Informationen, usw.

6. Ferngesteuerte Denial-of-Service-Sicherheitsrisiken, die einige Funktionen einer Online-Applikation deaktivieren können (es muss nachgewiesen werden, dass andere Benutzer betroffen sind).

7. Sicherheitsrisiken, die ein Smart Gerät dazu veranlassen, den Dienst zu verweigern. Beispielsweise ist ein Systemgerät einem lokal initiierten permanenten Denial-of-Service-Angriff ausgesetzt (das Gerät kann nicht mehr verwendet werden: es wird vollständig und dauerhaft beschädigt oder das gesamte Betriebssystem muss neu programmiert werden), einer vorübergehenden Denial-of-Service-Schwachstelle, die durch Remote-Angriffe verursacht wird (Remote-Sperrung oder -Neustart), und der Angriff muss sich schnell und in Serien replizieren lassen.

8. Sicherheitsrisiken, die gewöhnliche Geschäftssystemen ermöglichen, die Identitäten anderer Personen zu nutzen, um alle funktionalen Vorgänge außerhalb ihrer Befugnisse auszuführen.

 

【Geringe Sicherheitsrisiken】

1. Sicherheitsrisiken, die bei Phishing-Angriffen ausgenutzt werden können, einschließlich, aber nicht beschränkt auf Sicherheitsrisiken bei der URL-Umleitung usw.

2. Logische Designfehler mit geringem Sicherheitsrisiko.

3. Kleinere Sicherheitsrisiken, die Informationen offenlegen, einschließlich, aber nicht beschränkt auf Pfadlecks, Lecks in git-Dateien und serverseitige Inhalte von Geschäftsprotokollen.

4. Sicherheitsrisiken, die für Phishing oder Hacking ausgenutzt werden können, einschließlich, aber nicht beschränkt auf beliebige URL-Anpassungen und reflektierende XSS-Sicherheitsrisiken.

5. Mobile Endgeräte: Lokale Denial-of-Service-Schwachstellen (einschließlich, aber nicht beschränkt auf Denial-of-Service-Schwachstellen, die durch Berechtigungen für Android-Komponenten von Drittanbietern verursacht werden), kleinere Datenlecks (die nur einzelne Benutzer betreffen), usw.

6. Sicherheitsrisiken, die dazu führen, dass ein Gerät vorübergehend den Dienst verweigert. Dazu gehören unter anderem vorübergehende Denial-of-Service-Angriffe, die durch lokale Angriffe verursacht werden (die Geräte müssen auf die Werkseinstellungen zurückgesetzt werden).

 

[Probleme zu ignorieren]

1. Fehlermeldungen, die nichts mit der Sicherheit zu tun haben, einschließlich, aber nicht beschränkt auf das langsame Laden von Webseiten, unsaubere Formate, usw.

2. Der eingereichte Bericht ist zu einfach und kann nicht gemäß dem Inhalt des Berichts reproduziert werden, einschließlich, aber nicht beschränkt auf die Sicherheitsrisiken, die auch nach wiederholter Kommunikation mit dem Prüfenden nicht reproduzierbar sind.

3. Nicht ausnutzbare oder harmlose Berichte, einschließlich, aber nicht beschränkt auf Hoax-CSRF (keine realen Auswirkungen auf die Benutzer), lokales Denial-of-Service, das andere nicht beeinträchtigen kann, Self-XSS, PDF XSS, nicht sicherheitsrelevante Informationslecks (Intranet-IP, Domänenname), Mailbomb, usw.

4. Leak des Quellcodes, das in der Praxis keine Bedeutung hat.

5. Sicherheitsprobleme im Nicht-Ugreen-Modul des Hardware-Produkts oder der Defekt der Hardware selbst.

6. Sicherheitsprobleme, die Ugreen von sich aus offenlegt oder die extern bekannt gemacht wurden.

7. Sicherheitsprobleme bei Produkten, Applikationen oder WEB-Applikationen, die nicht mehr gepflegt werden.

8. Sicherheitsrisiken, von denen Ugreen selbst bestätigen kann, dass sie intern bekannt sind und behoben wurden.

9. Denial of Service, verursacht durch Berechtigungen von Android-Komponenten von Drittanbietern.

 

Alle Informationen, die Ugreen über Sicherheitsrisiken in NAS-Produkten zur Verfügung gestellt werden, einschließlich aller Informationen in den Meldungen zu Sicherheitsrisiken zu den Produkten, die Sie übermitteln, sind Eigentum von Ugreen und werden von Ugreen verwendet.

 

Ugreen behält sich das Recht vor, diese Richtlinie jederzeit zu ändern.