Bug-Bounty-Meldung
Bentley verpflichtet sich, die Daten unserer Anwender zu schützen und in diesem Bereich Transparenz zu gewährleisten. Unsere soliden Standards und Zertifizierungen in den Bereichen Privatsphäre und Datenschutz, Sicherheit und Compliance bestätigen dies.
Leitlinien für das Programm zur verantwortungsvollen Offenlegung von Bentley Systems
At Bentley Systems, we take the security of our systems and products seriously, and we value the security community. The disclosure of security vulnerabilities helps us ensure the security and privacy of our users.
1. Allgemeine Leitlinien
Bentley Systems verlangt, dass alle Forscher
- Datenschutzverletzungen, Beeinträchtigungen der Benutzerfreundlichkeit, Störungen der Produktionssysteme und die Vernichtung von Daten während der Sicherheitstests vermeiden.
- Forschung nur innerhalb des unten angegebenen Umfangs durchführen.
- die unten definierten Kommunikationskanäle verwenden, um uns Schwachstelleninformationen zu melden.
- Informationen über Schwachstellen, die Sie entdeckt haben, vertraulich zwischen Ihnen und Bentley Systems zu halten, bis sie behoben sind.
- keine rechtlichen Schritte im Zusammenhang mit Ihrer Forschung einzuleiten oder zu unterstützen.
- mit Ihnen zusammenzuarbeiten, um das Problem schnell zu verstehen und zu lösen.
2. Verhaltenskodex und rechtliche Verantwortlichkeiten
Wenn wir Schwachstellenforschung gemäß dieser Richtlinie durchführen, betrachten wir diese Forschung als
- autorisiert gemäß dem Computer Fraud and Abuse Act (CFAA) (oder ähnlichen staatlichen Gesetzen), und wir werden keine rechtlichen Schritte gegen Sie wegen versehentlicher, gutgläubiger Verstöße gegen diese Richtlinie einleiten oder unterstützen.
- ausgenommen vom Digital Millennium Copyright Act (DMCA) und wir werden keine Ansprüche wegen Umgehung von Technologiekontrollen gegen Sie geltend machen.
- ausgenommen von Einschränkungen in unseren Allgemeinen Geschäftsbedingungen, die die Durchführung von Sicherheitsforschung beeinträchtigen würden, und wir verzichten auf diese Einschränkungen in begrenztem Umfang für Arbeiten, die im Rahmen dieser Richtlinie durchgeführt werden.
- rechtmäßig, hilfreich für die allgemeine Sicherheit des Internets und in gutem Glauben durchgeführt.
Wie immer wird von Ihnen erwartet, dass Sie alle geltenden Gesetze einhalten. Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder unsicher sind, ob Ihre Sicherheitsforschung mit dieser Richtlinie übereinstimmt, reichen Sie bitte eine Meldung über einen unserer unten definierten Kommunikationskanäle ein, bevor Sie fortfahren.
3. Anwendungsbereich
Geltungsbereich | Nicht abgedeckt |
---|---|
|
|
4. Berechtigte Schwachstellen / Ausschlüsse
Berechtigte Schwachstellen | Ausschlüsse |
---|---|
|
|
*Bitte reichen Sie erst eine Meldung ein, nachdem Sie einen PoC in Form von zwei Screenshots mit Zeitstempeln und einer Subdomain haben. Diese Screenshots müssen beweisen, dass die Subdomain mindestens eine Stunde lang frei war. Scan-Tools fangen oft die kurze Zeitspanne ab, während der Änderungen an der Subdomain durchgeführt werden, was wie eine Schwachstelle aussieht, aber keine ist: Der DNS-Eintrag wird kurz darauf gelöscht. Durch das Einreichen der Screenshots werden Meldungen falscher Sicherheitslücken vermieden, was sowohl Ihnen als auch unserem Team Zeit spart.
Meldungen mit einem teilweisen PoC (ein Zeitstempelnachweis oder gar keine) werden nicht als Erstmeldung behandelt.
ACHTUNG! Die tatsächliche Übernahme der gemeldeten Subdomain als PoC ist untersagt.
5. So reichen Sie eine Meldung ein
Wenn Sie glauben, dass Sie eine Sicherheitslücke in einem unserer Produkte oder einer unserer Plattformen gefunden haben, füllen Sie bitte das Formular auf dieser Seite aus.
A good practice is to think whether the discovered vulnerability puts at risk:
- Bentley Systems clients’ information.
- Bentley Systems software.
- Bentley Systems reputation.
Stellen Sie sicher, dass Sie die folgenden Informationen angegeben haben:
- Detaillierte Beschreibung der Schwachstelle mit Informationen wie URL, vollständiger HTTP-Anfrage/Antwort und Art der Schwachstelle.
- Information necessary to reproduce the issue.
- Proof of concept including practical severity and attack scenario, indication of a potential risk only is hard to evaluate and usually such report is not approved.
- If applicable, a screenshot and/or video of the vulnerability.
- Kontaktinformationen, Name, E-Mail-Adresse, Telefonnummer, Standort. Einreichungen ohne diese Angaben werden nicht berücksichtigt.
- IMPORTANT NOTE. You may only make the initial submission through the form. If you have any questions not mentioned in a form, please e-mail us at [email protected].
6. Teilnahmeregeln
- DoS ist streng verboten.
- Jede Form von Brute-Force-Anmeldeinformationen ist strengstens untersagt.
- Die öffentliche Bekanntmachung einer gemeldeten Schwachstelle, bevor sie behoben wurde, ist verboten.
- Sie dürfen unsere Leistung nicht vernichten oder herabsetzen oder die Privatsphäre oder Integrität unserer Anwender und ihrer Daten verletzen.
- Das Ausnutzen von Schwachstellen (außer einem generischen PoC) ist strengstens untersagt und wird gemäß geltendem Recht strafrechtlich verfolgt.
- Wenn eine Schwachstelle unbeabsichtigten Zugriff auf Daten bietet, müssen Sie
- die Datenmenge, auf die Sie zugreifen, auf das Minimum beschränken, das für die effektive Demonstration eines Proof of Concept erforderlich ist; und
- den Test einstellen und
- sofort eine Meldung einreichen, wenn Sie während des Tests auf Anwenderdaten stoßen, wie z. B. personenbezogene Daten, persönliche Gesundheitsinformationen, Kreditkartendaten oder urheberrechtlich geschützte Daten.
- Bentley reagiert nicht auf Erpressung oder andere erpresserische und kriminelle Handlungen (z. B. Forderungen nach Vorauszahlung als Gegenleistung dafür, dass eine gefundene Schwachstelle nicht ausgenutzt wird).
7. Öffentliche Bekanntmachung
Sofern von unserem Team nicht anders mitgeteilt, dass die Schwachstelle behoben wurde, halten Sie die öffentliche Bekanntmachung der Schwachstelle bitte für 90 Tage zurück. Andernfalls werden rechtliche Schritte eingeleitet.
8. Duplikate
- Only the first researcher to report an issue will be entitled for a reward.
- The reports of the same issue in different environments are not rewarded and closed as duplicates. (e.g. dev-*-bentley.com, qa- dev-*-bentley.com, prod- dev-*-bentley.com)
- The reports of the same issue in different deployment regions are not rewarded and closed as duplicates. (e.g. *.us.bentley.com, *.eus-bentley.com, *.in.-*-bentley.com)
- Multiple instances of the same issue will only be compensated to a max of 3x the reward sum. (e.g. expires SSL certificate on 25 domain and subdomains will count 3×100 USD, and not 25×100 USD)
9. Triage von Schwachstellen
- Die gemeldete Schwachstelle wird analysiert.
- You will be informed if the issue is closed without a reward. We do not send a detailed explanation of the resolution.
- If we determine the submission is valid and meets the requirements of this policy, you may receive a reward after the fix is implemented. Our commitment is to reward your efforts within 90 days.
10. Vergütung
Beispiele für Schwachstellen | Preisspanne (USD)** |
---|---|
Brocken Access Control (Privilege Escalation) | 250-450 |
Business Logic Issues | 100-300 |
Cross-Origin Recourse Sharing (CORS) | 100-200 |
Cross-Site Request Forgery (CSRF) | 150-250 |
Cross-Site Scripting (XSS) | 100-200 |
DLL-Hijacking | 50 |
Hyperlink-Injektion | 50 |
Identifizierung und Authentifizierung | 250-450 |
Insecure Direct Object Reference (IDOR) | 250-450 |
Open Redirect | 50-150 |
Andere | 0-500 |
Remote Code Execution | 600 |
Fehlkonfiguration der Sicherheit | 50-250 |
Offenlegung sensibler Daten | 50-200 |
Secrets leak | 200-500 |
Fehlkonfiguration der Sitzung | 50-200 |
SQL-Injektion | 250-500 |
NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following:
- report was submitted by current of former employee of Bentley Systems
- report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
- report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
- report was submitted by the employee of the company that is a Bentley System’s service provider.
- report was submitted by an individual residing in a country that is currently subject to international sanctions.
- Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.
**Beachten Sie, dass mehrere Vorfälle desselben Problems nur bis zum 3-fachen des Preises vergütet werden.
**Meldungen über ein Problem in verschiedenen Umgebungen des Produkts (dev-, qa-, prod-) werden als eine Meldung gezählt.
Wir behalten uns das Recht vor, diese Richtlinie jederzeit und ohne Angabe von Gründen zu ändern, und können keine Vergütung für alle Meldungen garantieren. Die Vergütung erfolgt nur über PayPal.
WICHTIG. Bitte stellen Sie sicher, dass Sie nur eine gültige PayPal-Adresse senden: Wir können keine anderen Adressen als die Originaladresse für die Zahlung berücksichtigen. Wenn die Transaktion aus irgendeinem Grund fehlschlägt (d. h. PayPal lehnt die Transaktion ab; Empfängerbank kann Zahlung nicht annehmen; Höchstbetrag ist erreicht, Zahlungen werden nur über die Website oder andere Anweisungen akzeptiert usw.), wird die Zahlung storniert und nicht erneut übermittelt.
Bentley Systems behält sich das Recht vor, das Programm zur verantwortungsvollen Offenlegung und sein Vergütungssystem jederzeit ohne vorherige Ankündigung zurückzuziehen.
Meldung einreichen
Inhalt
Bentley Systems verlangt, dass alle Forscher
- Datenschutzverletzungen, Beeinträchtigungen der Benutzerfreundlichkeit, Störungen der Produktionssysteme und die Vernichtung von Daten während der Sicherheitstests vermeiden.
- Forschung nur innerhalb des unten angegebenen Umfangs durchführen.
- die unten definierten Kommunikationskanäle verwenden, um uns Schwachstelleninformationen zu melden.
- Informationen über Schwachstellen, die Sie entdeckt haben, vertraulich zwischen Ihnen und Bentley Systems zu halten, bis sie behoben sind.
- keine rechtlichen Schritte im Zusammenhang mit Ihrer Forschung einzuleiten oder zu unterstützen.
- mit Ihnen zusammenzuarbeiten, um das Problem schnell zu verstehen und zu lösen.
Wenn wir Schwachstellenforschung gemäß dieser Richtlinie durchführen, betrachten wir diese Forschung als
- autorisiert gemäß dem Computer Fraud and Abuse Act (CFAA) (oder ähnlichen staatlichen Gesetzen), und wir werden keine rechtlichen Schritte gegen Sie wegen versehentlicher, gutgläubiger Verstöße gegen diese Richtlinie einleiten oder unterstützen.
- ausgenommen vom Digital Millennium Copyright Act (DMCA) und wir werden keine Ansprüche wegen Umgehung von Technologiekontrollen gegen Sie geltend machen.
- ausgenommen von Einschränkungen in unseren Allgemeinen Geschäftsbedingungen, die die Durchführung von Sicherheitsforschung beeinträchtigen würden, und wir verzichten auf diese Einschränkungen in begrenztem Umfang für Arbeiten, die im Rahmen dieser Richtlinie durchgeführt werden.
- rechtmäßig, hilfreich für die allgemeine Sicherheit des Internets und in gutem Glauben durchgeführt.
Wie immer wird von Ihnen erwartet, dass Sie alle geltenden Gesetze einhalten. Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder unsicher sind, ob Ihre Sicherheitsforschung mit dieser Richtlinie übereinstimmt, reichen Sie bitte eine Meldung über einen unserer unten definierten Kommunikationskanäle ein, bevor Sie fortfahren.
Geltungsbereich |
---|
|
Nicht abgedeckt |
|
Berechtigte Schwachstellen |
---|
|
Ausschlüsse |
|
Wenn Sie glauben, dass Sie eine Sicherheitslücke in einem unserer Produkte oder einer unserer Plattformen gefunden haben, füllen Sie bitte das Formular auf dieser Seite aus.
Stellen Sie sicher, dass Sie die folgenden Informationen angegeben haben:
- Detaillierte Beschreibung der Schwachstelle mit Informationen wie URL, vollständiger HTTP-Anfrage/Antwort und Art der Schwachstelle.
- Informationen, die zum Reproduzieren des Problems erforderlich sind.
- Gegebenenfalls einen Screenshot und/oder ein Video der Schwachstelle.
- Kontaktinformationen, Name, E-Mail-Adresse, Telefonnummer, Standort. Einreichungen ohne diese Angaben werden nicht berücksichtigt.
- WICHTIGER HINWEIS. Sie können die erstmalige Einreichung nur über das Formular vornehmen. Wenn Sie Fragen haben, die nicht in einem Formular aufgeführt sind, senden Sie uns bitte eine E-Mail an [E-Mail geschützt].
- DoS ist streng verboten.
- Jede Form von Brute-Force-Anmeldeinformationen ist strengstens untersagt.
- Die öffentliche Bekanntmachung einer gemeldeten Schwachstelle, bevor sie behoben wurde, ist verboten.
- Sie dürfen unsere Leistung nicht vernichten oder herabsetzen oder die Privatsphäre oder Integrität unserer Anwender und ihrer Daten verletzen.
- Das Ausnutzen von Schwachstellen (außer einem generischen PoC) ist strengstens untersagt und wird gemäß geltendem Recht strafrechtlich verfolgt.
- Wenn eine Schwachstelle unbeabsichtigten Zugriff auf Daten bietet, müssen Sie
- die Datenmenge, auf die Sie zugreifen, auf das Minimum beschränken, das für die effektive Demonstration eines Proof of Concept erforderlich ist; und
- den Test einstellen und
- sofort eine Meldung einreichen, wenn Sie während des Tests auf Anwenderdaten stoßen, wie z. B. personenbezogene Daten, persönliche Gesundheitsinformationen, Kreditkartendaten oder urheberrechtlich geschützte Daten.
- Bentley reagiert nicht auf Erpressung oder andere erpresserische und kriminelle Handlungen (z. B. Forderungen nach Vorauszahlung als Gegenleistung dafür, dass eine gefundene Schwachstelle nicht ausgenutzt wird).
Sofern von unserem Team nicht anders mitgeteilt, dass die Schwachstelle behoben wurde, halten Sie die öffentliche Bekanntmachung der Schwachstelle bitte für 90 Tage zurück. Andernfalls werden rechtliche Schritte eingeleitet.
Nur der erste Forscher, der ein Problem oder ähnliche Probleme meldet, wird im Rahmen dieser Richtlinie berücksichtigt. Dazu gehören Meldungen zum gleichen Problem in verschiedenen Umgebungen (z. B. dev-, qa-, prod-).
Sobald Ihre Einreichung eingegangen ist, geschieht Folgendes:
- Die gemeldete Schwachstelle wird analysiert.
- Wenn wir feststellen, dass die Einreichung gültig ist und die Anforderungen dieser Richtlinie erfüllt, erhalten Sie möglicherweise eine Vergütung.
- Sie werden informiert, wenn das Problem behoben ist.
Beispiele für Schwachstellen | Preisspanne (USD)** |
---|---|
Brocken Access Control (Privilege Escalation) | 200-400 |
Business Logic Issues | 100-300 |
Cross-Origin Recourse Sharing (CORS) | 100-200 |
Cross-Site Request Forgery (CSRF) | 100-200 |
Cross-Site Scripting (XSS) | 50-150 |
Directory Traversal | 100-200 |
DLL-Hijacking | 100-200 |
Hyperlink-Injektion | 50 |
Identifizierung und Authentifizierung | 200-400 |
Insecure Direct Object Reference (IDOR) | 200-400 |
Open Redirect | 50-150 |
Andere | 0-500 |
Remote Code Execution | 500 |
Fehlkonfiguration der Sicherheit | 50-200 |
Offenlegung sensibler Daten | 50-500 |
Fehlkonfiguration der Sitzung | 50-150 |
SQL-Injektion | 200-400 |