Schwachstellen an Aura melden

Wenn Sie glauben, eine Sicherheitslücke in den Produkten von Aura Home Inc. (im Folgenden Aura genannt) entdeckt zu haben, können Sie die Vorlage ausfüllen und das Sicherheitsproblem direkt an security@auraframes.com senden. Sie erhalten in der Regel innerhalb von 2 Werktagen eine Einladung von HackerOne, unserem VDP-Anbieter, per E-Mail. Nachdem Sie den Bericht über HackerOne eingereicht haben, wird unser Sicherheitsteam je nach Schwere und Komplexität der Schwachstellen so schnell wie möglich für Abhilfe sorgen.

Richtlinien zur verantwortungsvollen Offenlegung

Da es sich um ein von HackerOne verwaltetes Programm handelt, bitten wir Sie, dieses Programm oder Schwachstellen (auch behobene) nicht außerhalb des Programms zu diskutieren, es sei denn, Sie haben die ausdrückliche Zustimmung der Organisation.

Weitere Details zu den Offenlegungsrichtlinien finden Sie unter:

https://www.hackerone.com/disclosure-guidelines

Reaktionsumfang

Dieser Prozess zur Behandlung von Schwachstellen gilt für drei Assets:

    \n
  • Die primäre Website von Aura Home, Inc., auf der Sie Ihr Konto verwalten, sich über Produkte und Dienstleistungen informieren, Support in Anspruch nehmen können, usw.
    • \n
  • Die Api-Dienste, die Funktionen für unsere Web-/Mobilanwendungen und digitalen Bilderrahmen bereitstellen.
    • \n
  • Unser Bild-CDN, das Fotos für unsere Web-/Mobil-Apps und digitalen Bilderrahmen bereitstellt.
    • \n

Prozess zur Behandlung von Schwachstellen

Aura Home Inc. (im Folgenden Aura genannt) ist bestrebt, die Sicherheit unserer Systeme und der Daten unserer Kunden zu gewährleisten.

Hier ist eine Zusammenfassung von Auras Triage Lifecycle über HackerOne.

    \n
  1. Danksagung: Erste Reaktion der HackerOne Sicherheitsanalysten.
    2. \n
  2. Umfangsprüfung und De-Duplizierung: Beseitigung von Fehlalarmen, Deduplizierung und Umfangsprüfung.
    3. \n
  3. Validierung: Überprüfung gültiger Schwachstellen anhand einer konsistenten Methodik, die eine Reproduktion des Berichts, die Berechnung des Schweregrads, die Anreicherung von Metadaten und eine detaillierte Zusammenfassung des Fundes, der Auswirkungen und der Expertenanalyse umfasst.
    4. \n
  4. Hacker-Kommunikation: Pflegen Sie den ständigen Kontakt und die Kommunikation mit den Hackern.
    5. \n
  5. Ratschläge zur Behebung: Handlungsempfehlungen zur effektiven Behebung von Risiken und zur Unterstützung der Kunden bei der Schließung der Risikolücke.
    6. \n

Weitere Informationen finden Sie unter:

https://www.hackerone.com/hackerones-depth-approach-vulnerability-triage-and-validation

Der Inhalt des Berichts wird dem Sicherheitsteam sofort zur Verfügung gestellt und bleibt zunächst nicht öffentlich, damit das Sicherheitsteam genügend Zeit hat, eine Abhilfemaßnahme zu veröffentlichen. Nachdem der Bericht geschlossen wurde, kann die Veröffentlichung entweder vom Finder oder vom Sicherheitsteam beantragt werden.

\n