Der Aufbau vertrauensvoller Beziehungen mit unseren Kunden ist für ThoughtSpot von höchster Bedeutung. Unserer Meinung nach ist die Privatsphäre ein Grundrecht, und so räumen wir der Privatsphäre und der Sicherheit unserer Kunden stets oberste Priorität ein.
ThoughtSpot nimmt die Cybersicherheit sehr ernst und wertschätzt die Unterstützung der gesamten Sicherheits-Community sehr. Die verantwortungsvolle Offenlegung potenzieller Schwachstellen hilft uns, die Sicherheit und Privatsphäre unserer Kunden und ihre Daten zu schützen. Alle Meldungen zu potenziellen Schwachstellen müssen genügend Informationen enthalten, um die Reproduktion und Validierung des Problems zu ermöglichen. Es sollten eine detaillierte Zusammenfassung der Probleme, Ziele, getroffenen Maßnahmen, verwendeten Tools sowie Screenshots und sämtliche Informationen bereitgestellt werden, die bei der Auswertung für die Reproduktion der potenziellen Schwachstelle hilfreich sind.
Wir bitten die Sicherheits-Community, uns eine Gelegenheit zu geben, die gemeldeten Schwachstellen zu beheben, bevor die Informationen durch/für Dritte offengelegt werden. ThoughtSpot wird keine rechtlichen Schritte gegen Forscher einleiten, die die folgenden Richtlinien befolgen und etwaige Sicherheitslücken direkt und verantwortungsvoll an ThoughtSpot melden. ThoughtSpot behält sich alle gesetzlichen Rechte im Falle der Nichteinhaltung dieser Programmrichtlinien vor.
Üben Sie keine Tätigkeiten aus, die ThoughtSpot, unseren Kunden oder unseren Mitarbeitern potenziell oder tatsächlich schaden können.
Üben Sie keine Tätigkeiten aus, die die Services oder das Eigentum von ThoughtSpot unterbrechen oder beeinträchtigen können.
Nutzen Sie keine Schwachstellen aus, z. B. durch Herunterladen/Abrufen von mehr Daten, als für die Demonstration der Schwachstelle benötigt werden, durch Einsichtnahme in die Daten Dritter oder durch Löschen oder Verändern von Daten. Wenn eine Schwachstelle einen unbefugten Zugriff auf Daten ermöglicht, darf der Zugriff auf die Daten nicht über das Mindestmaß hinaus erfolgen, das erforderlich ist, um das Vorhandensein einer Schwachstelle effektiv nachzuweisen. Wenn Sie während Ihrer Tests auf Daten mit hohem Risiko stoßen, z. B. personenbezogene Daten, geschützte Gesundheitsdaten, Kreditkartendaten oder sonstige vertrauliche Informationen, brechen Sie die Tests ab und reichen Sie sofort einen Bericht ein.
Sie dürfen ThoughtSpot oder Daten von ThoughtSpot nicht speichern, teilen, beschädigen oder zerstören. Wenn Sie auf personenbezogene Daten stoßen, sollten Sie Ihre derzeitige Aktivität sofort unterbrechen, die damit verbundenen Daten von Ihrem System löschen und unverzüglich ThoughtSpot kontaktieren ([email protected]). Dieses Vorgehen dient sowohl dem Schutz aller potenziell gefährdeten Daten als auch Ihrem Schutz.
Üben Sie keine Tätigkeiten aus, die (a) gegen inländische Gesetze oder Vorschriften verstoßen oder (b) gegen die Gesetze oder Vorschriften eines Landes verstoßen, in dem (i) sich Daten, Sacheigentum oder Systeme befinden, (ii) Datenverkehr durchgeleitet wird oder (iii) der Forscher Forschungstätigkeiten nachgeht.
Alle Informationen in Bezug auf Schwachstellen, die Ihnen durch das Programm für verantwortungsvolle Offenlegung bekannt werden, gelten als vertraulich („vertrauliche Informationen“). Sie erklären, vertrauliche Informationen nicht öffentlich oder an Dritte weiterzugeben und dass alle Informationen von ThoughtSpot, die sie vorfinden, einsehen, erwerben oder abrufen, Eigentum von ThoughtSpot oder seinen Kunden oder Drittanbietern sind. Sie haben keine Rechte an solchen Informationen. Sie erklären, jeder Aufforderung unseres Informationssicherheitsteams nachzukommen sowie sämtliche Kopien vertraulicher Informationen und alle Mitteilungen im Zusammenhang mit den vertraulichen Informationen unverzüglich zurückzugeben oder zu vernichten.
Mit jedem Test, den Sie durchführen, und jedem Bericht, den Sie einreichen, erklären Sie sich mit allen Bedingungen des Programms einverstanden.
Die folgenden Klassen von Schwachstellen sind für uns von besonderem Interesse und eine entsprechende Einstufung kann nach der Überprüfung erfolgen:
Remote Code Execution (RCE).
SQL-Injection.
XML External Entity Injection (XXE).
Autorisierungsumgehung/-eskalation.
Offenlegung sensibler Informationen.
Cross-Site-Scripting (XSS).
Cross-Site-Request-Forgery (CSRF).
Sonstige Schwachstellen nach alleinigem Ermessen von ThoughtSpot.
Nachfolgend sehen Sie eine unvollständige Liste von Problemen, die Sie nicht melden sollten, sofern Sie nicht überzeugt sind, dass es sich um eine tatsächliche Schwachstelle handelt:
Self-XSS.
CSRF bei der Anmeldung/Abmeldung.
CSRF-Konfigurationsproblem ohne ausnutzbaren Proof of Concept.
Fehlende Sicherheits-Header, die nicht direkt zu einer Schwachstelle führen.
Schwachstellen in Komponenten Dritter je nach Schwere und Ausnutzbarkeit.
Ratenbeschränkung bei E-Mails, die bei der Registrierung, der Anmeldung sowie der Bestätigung von Änderungen verschickt werden.
Vorhergehende E-Mail-Anmeldelinks werden nicht ungültig, wenn mehrere Anmeldelinks angefordert werden.
EXIF wird nicht aus Uploads entfernt, es sei denn, es ist außerhalb des Arbeitsbereichs erkennbar.
Denial-of-Service(DOS-) und Ratenbeschränkungsprobleme.
Fehler, die nach einer hochgradig unwahrscheinlichen Benutzerinteraktion verlangen.
Social-Engineering-Angriffe.
Mängel, die Benutzer von veralteten Browsern und Plug-ins betreffen.
Aufzählung oder Offenlegung nicht sensibler Informationen.
Aufzählung von Informationen im Kontext eines einzelnen Arbeitsbereichs.
Fehlende Eingabevalidierung ohne ausnutzbaren Proof of Concept.
E-Mail-Bomben und -Überflutung.
E-Mail-Sicherheitskonfigurationen – SPF, DKIM, DMARC.
Physische Tests.
Bitte senden Sie alle Anfragen oder Meldungen an [email protected]. Alle nicht autorisierten Tätigkeiten, die nicht den Bedingungen dieses Programms entsprechen, können gemäß den geltenden Gesetzen und Unternehmensrichtlinien rechtlich verfolgt werden. Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder unsicher sind, ob Ihre Sicherheitsforschung mit den Bedingungen dieses Programms übereinstimmt, brechen Sie Ihre Tests ab und kontaktieren Sie uns unter [email protected].
Die E-Mail-Kommunikation zwischen Ihnen und ThoughtSpot, insbesondere E-Mails, die Sie zur Meldung einer potenziellen Sicherheitslücke an ThoughtSpot senden, sollten keine Ihrer geheimen Informationen beinhalten. Die Inhalte sämtlicher E-Mail-Mitteilungen, die Sie an ThoughtSpot senden, werden als nicht geheim betrachtet. ThoughtSpot und seine verbundenen Unternehmen können solche Mitteilungen oder Materialien für beliebige Zweck verwenden, insbesondere für die Vervielfältigung, Offenlegung, Übertragung oder sonstige Veröffentlichung. Darüber hinaus steht es ThoughtSpot und seinen verbundenen Unternehmen frei, alle Ideen, Konzepte, Know-how oder Techniken, die in den von Ihnen an ThoughtSpot gesendeten Mitteilungen oder Materialien enthalten sind, für beliebige Zwecke zu verwenden, insbesondere für die Reparatur, Entwicklung, Fertigung und Vermarktung von Produkten. Durch die Übermittlung von Informationen gewähren Sie ThoughtSpot ein unbefristetes, gebührenfreies und unwiderrufliches Recht und eine ebensolche Lizenz zur Nutzung, Vervielfältigung, Änderung, Anpassung, Veröffentlichung, Übersetzung, Verteilung, Übertragung, öffentlichen Darstellung, Unterlizenzierung, Übermittlung und zum Verkauf dieser Informationen sowie zur Erstellung abgeleiteter Werke von diesen Informationen.