Einführung
Dolby nimmt Sicherheitslücken und -probleme ernst. Wir ermutigen die Community, mögliche Sicherheitslücken und Vorfälle privat und verantwortungsbewusst zu melden.
Im Folgenden wird dargelegt, wie Dolby mit der Offenlegung potenzieller Sicherheitslücken umgeht und was Sie erwarten können, wenn eine Offenlegung erfolgt ist.
Unser Ziel ist es, gemeldete, legitime Probleme so schnell und effizient wie möglich zu beheben, jedoch ist die Behandlung offengelegter Probleme nicht immer so einfach und unkompliziert, wie man vielleicht denkt. Während einige Probleme schnell analysiert und gelöst werden können, können andere komplexer sein oder umfassendere Auswirkungen haben, die eine sorgfältigere Arbeit hinter den Kulissen erfordern.
Verantwortungsvoller Offenlegungsprozess
Während des gesamten Meldeprozesses sind wir bestrebt, alle Informationen vertraulich zu behandeln und mit der meldenden Stelle zusammenzuarbeiten, um sicherzustellen, dass wir das Problem verstehen und es angemessen angehen.
Wir bitten Sie darum:
- Sie handeln nach Treu und Glauben und benennen gutgläubige Probleme.
- Versuchen Sie nicht, Konten oder Daten zu gefährden.
- Sie versuchen nicht, unsere Dienste zu unterbrechen oder zu verschlechtern oder die Stabilität der Plattform zu beeinträchtigen (z. B. durch Denial-of-Service-Angriffe usw.)
- Sie teilen uns Probleme privat mit und geben uns eine angemessene Zeit, um darauf zu reagieren.
- Sie geben keine Informationen öffentlich bekannt, bevor wir nicht in der Lage waren, die Auswirkungen zu verstehen und mögliche Risiken zu mindern
Wenn uns Probleme gemeldet werden, bemühen wir uns, die Meldung so schnell wie möglich zu bestätigen und das Problem umgehend zu untersuchen.
Meldung
Bitte geben Sie, wenn möglich, die folgenden Informationen an:
- Genaue Reproduktionsschritte, nur im Textformat!
- URL und Parameter, die die Sicherheitslücke aufzeigen (falls zutreffend).
- Alle relevanten Details über die Konfiguration Ihres Systems.
- Ihre IP-Adresse und Ihr Dolby-Konto, um sie mit unseren Protokollen abzugleichen.
- Bitte senden Sie keine ausführbaren Anhänge.
Wenn Sie sensible Informationen weitergeben müssen, kontaktieren Sie uns bitte und wir werden eine verschlüsselte Übertragung koordinieren.
Ausschlüsse
Im Folgenden finden Sie eine nicht erschöpfende Liste von Beispielen, die nicht als gültige Probleme angesehen werden:
- Aufzählung von Benutzern oder Konten.
- Best-Practice-Konfigurationen/Richtlinien (z.B. DMARC, SPF Records, etc.)
- Ein POC, der von der Ausführung eines Man-in-the-Middle-Angriffs (MITM) abhängig ist.
- E-Mail-Spoofing.
- Clickjacking oder ähnliche Techniken.
Bitte beachten Sie, dass dies nur ein paar gängige Beispiele sind. Dolby behält sich das Recht vor, zu bestimmen, was als gültige Einsendung gilt.
Zum gegenwärtigen Zeitpunkt betreibt Dolby kein öffentliches Bug Bounty-Programm und bietet daher auch keine Geldprämien an.
Dankeschön
Wir danken Ihnen für die verantwortungsvolle Meldung von Schwachstellen und Problemen. Wir respektieren die Gemeinschaft der Sicherheitsforscher und schätzen die Bemühungen um eine verantwortungsvolle Meldung.