SICHERHEITSSCHWACHSTELLENBERICHT

So melden Sie eine Sicherheitslücke

Wenn Sie Informationen über eine Sicherheitslücke bei einem Produkt oder einer Technologie von CMF by Nothing haben, senden Sie bitte eine E-Mail an infosec@cmf.tech
Verschlüsseln Sie vertrauliche Informationen mit unserem öffentlichen PGP-Schlüssel. Bitte geben Sie detailliertere Informationen an, darunter:
  • Die Produkte und Softwareversionen
  • Detaillierte Beschreibung
  • Informationen zu bekannten Exploits
Ein Mitglied des CMF by Nothing-Sicherheitsteams wird Ihre E-Mail prüfen und Sie kontaktieren, um gemeinsam das Problem zu lösen.
infosec@cmf.tech erfasst nur Sicherheitslücken im Zusammenhang mit CMF by Nothing-Produkten. Wenn Sie andere produktbezogene Probleme haben, geben Sie bitte Feedback unter https://intl.cmf.tech/pages/contact .


Öffentliche PGP-Schlüssel

Verwenden Sie den öffentlichen PGP-Schlüssel, um E-Mails mit vertraulichen Informationen zu verschlüsseln und um zu überprüfen, ob die von CMF by Nothing gesendeten Sicherheitsnachrichten echt sind.
  • Aktives Datum: 4. Dezember 2023
  • Ablaufdatum: Nie
  • Schlüssel-ID: 5FC6 17E8
  • Schlüsseltyp: RSA
  • Fingerabdruck: BC02435AAC1506132BD2235BAA45224A5FC617E8
  • Benutzer-ID: infosec@cmf.tech

Belohnungsregeln für Verletzlichkeit

Verarbeitungsablauf:

Meldung von Sicherheitslücken

Um einen Schwachstellenbericht einzureichen, senden Sie bitte eine E-Mail mit Ihrer registrierten E-Mail-Adresse an das angegebene Konto für Kommunikation und Belohnungen. Die E-Mail sollte die folgenden Informationen enthalten: Schwachstellenkategorie, Titel, Domänenname, Schwachstellenstufe, Schwachstellenbeschreibung, Details, Anhänge und Reparaturplan.

Der Abschnitt „Details“ sollte eine Beschreibung des Schwachstellentests oder des Erkennungsprozesses und des Ausmaßes der Auswirkungen enthalten. Bitte stellen Sie bei Bedarf relevante Code-Quelldokumente, Screenshots und Videos zur Verfügung. Wenn Sie während des Ausnutzungsprozesses Debugging-Tools verwendet haben, laden Sie diese bitte als Anhänge hoch. Wenn die Tools zu groß sind, stellen Sie bitte einen Download-Link zur Verfügung. Stellen Sie außerdem den Proof of Concept oder Exploit der Schwachstelle zur Verfügung.

Bitte beachten Sie, dass die Nichterfüllung dieser Anforderungen dazu führen kann, dass Ihr Bericht den Überprüfungsprozess nicht besteht.

Sobald wir Ihren Schwachstellenbericht erhalten haben, schließen wir den Überprüfungsprozess innerhalb von 30 Arbeitstagen ab und antworten Ihnen per E-Mail mit den Ergebnissen. Bitte achten Sie weiterhin auf Updates in Ihren E-Mails.

Belohnungsregeln für Verletzlichkeit

Schwachstellenstufe

Schwachstellendefinition

Betragsbereich der Mall-Gutscheinprämie (USD)

Kritisch

Offenlegung vertraulicher Informationen, unbefugter Zugriff auf Kernsysteme oder große Mengen vertraulicher Informationen, Überschreitung der Befugnisse bei vertraulichen Vorgängen.

1000-2000

Hoch

Schwachstellen, die direkt Berechtigungen erlangen, zum Abfluss vertraulicher Informationen führen und interne Benutzerinformationen stehlen.

500-1000

Mittel

Schwachstellen, die eine Interaktion zum Einholen von Berechtigungen erfordern, zu schwerwiegenden Informationslecks führen und interne Benutzerinformationen stehlen.

100-500

Niedrig

Nur in einer bestimmten Umgebung können fehlende Zugriffsberechtigungen zu Informationslecks und dem Diebstahl interner Benutzerinformationen führen.

20-100

Sollte der Shop-Coupon in Ihrer Region nicht erhältlich sein, wandeln wir ihn anteilig in andere Prämien um.

Wir werden die Belohnungsverteilung innerhalb von 30 Arbeitstagen nach Abschluss der Schwachstellenüberprüfung abschließen. Bitte überprüfen Sie Ihre Belohnung rechtzeitig.

Beachten

Die folgenden Situationen werden nicht belohnt:

1. Schwachstellen, die nichts mit dem CMF-Produkt zu tun haben.

2.Schwachstellen, die öffentlich gemacht wurden, bevor sie behoben wurden.

3.Schwachstellen, die online öffentlich bekannt gegeben wurden.

4. Für dieselbe Schwachstelle wird derjenige belohnt, der sie zuerst meldet, und andere Melder werden nicht belohnt. Dieselbe Schwachstelle in unterschiedlichen Versionen wird als dieselbe Schwachstelle betrachtet.

5. Wer Schwachstellen als Vorwand nutzt, um Benutzerinteressen zu schädigen, Geschäftsabläufe zu beeinträchtigen oder Benutzerdaten zu stehlen, erhält keine Punkte und Nothing behält sich das Recht vor, weitere rechtliche Schritte einzuleiten.

In den folgenden Situationen kommt es zu einer Herabstufung/Rückerstattung der Prämien:

1. Bei Informationen mit gravierenden Abweichungen zwischen Titel und Inhalt wird eine Herabstufung der Anfälligkeit entsprechend der Handlung vorgenommen, und schwerwiegende Fälle werden als Vernachlässigung der Anfälligkeit/Intelligenz behandelt.

2. Die Prüfkollegen moderieren die Berichtsinhalte auf der Grundlage hochwertiger Berichtsstandards. Berichte, denen wichtige Faktoren fehlen (Textbeschreibung, Bildnachweis, Testprozess, Risikoschnittstelle, Parameter usw.), die ein chaotisches Berichtslayout aufweisen und nicht stabil reproduziert werden können, werden herabgestuft/ignoriert.

3. Geben Sie ohne die Erlaubnis von Nothing Details zu Sicherheitslücken privat an die Öffentlichkeit weiter, fordern Sie Belohnungen für die Sicherheitslücken ein und behalten Sie sich das Recht vor, rechtliche Schritte einzuleiten.

Wenn für dieselbe URL ähnliche Schwachstellen in mehreren Parametern vorhanden sind, werden Belohnungen entsprechend einer Schwachstelle und Belohnungen entsprechend dem größten Schadensgrad für verschiedene Typen vergeben.

Mehrere Schwachstellen, die von derselben Schwachstellenquelle generiert werden, werden als eine Schwachstelle gezählt. Beispiele: mehrere Sicherheitsfehler, die vom selben JS verursacht werden, mehrere Sicherheitsfehler auf Seiten, die vom selben Veröffentlichungssystem verursacht werden, Sicherheitsfehler auf ganzen Stationen, die von Frameworks verursacht werden, mehrere Sicherheitsfehler, die von der Domänennamenauflösung generiert werden usw.

Melden Sie mehrere Schwachstellen in einem Bericht und belohnen Sie die Schwachstelle mit dem höchsten Schadensgrad.

Bitte bestätigen Sie bei der Meldung einer Sicherheitslücke, ob diese tatsächliche Auswirkungen auf das Geschäft hat, und legen Sie einen Nachweis für einen tatsächlichen Schaden vor. Indirekter oder spekulativer Schaden wird bei der Bewertung nicht berücksichtigt.

Coupon-Verteilungszyklus

Wir werden die Belohnungen innerhalb von 30 Arbeitstagen nach Abschluss der Überprüfung der Sicherheitslücke verteilen. Bitte überprüfen Sie Ihren Belohnungsstatus umgehend.

Betroffen sind personenbezogene Daten

Um die Belohnung zu erhalten, müssen Sie Ihr NOTHING Mall-Konto oder andere Kontoinformationen angeben. Während des Einreichungsprozesses für die Schwachstelle werden wir jedoch keine zusätzlichen persönlichen Informationen abfragen. Wir benötigen lediglich Ihre registrierte E-Mail-Adresse für die Kommunikation und Ihre registrierten Kontoinformationen für die Ausgabe der Belohnung.