Retningslinjer for Security Disclosure

I Canon tar vi sikkerheten til IT-systemene våre på alvor og setter pris på sikkerhetssamfunnet. Fremlegging av sikkerhetssvakheter hjelper oss med å ivareta brukernes sikkerhet og personvern ved å opptre som en betrodd partner. Disse retningslinjene forklarer kravet og mekanismen knyttet til Canon EMEA IT System Vulnerability Disclosure som gjør det mulig for forskere å rapportere sikkerhetsproblemer på en sikker og etisk måte til Canon EMEA Information Security-teamet.

Disse retningslinjene gjelder for alle, inkludert interne Canon-deltakere og eksterne deltakere.

Omfang

Canons EMEA Information Security Team er forpliktet til å beskytte Canons kunder og ansatte, og som en del av denne forpliktelsen, inviterer vi sikkerhetsforskere til å bidra til å beskytte Canon ved å proaktivt rapportere sikkerhetsproblemer og svakheter. Du kan rapportere detaljene for dine funn til: product-security@canon-europe.com

Dette er listen over domener som er inkludert i Canon Vulnerability Disclosure Policy.

Rapportere et sikkerhetsproblem

Du kan rapportere svakheter til oss via e-post: product-security@canon-europe.com. Oppgi hvilke svakheter du har funnet, så tydelig og detaljert som mulig, og oppgi eventuelle bevis du måtte ha. Husk at meldingen vil bli gjennomgått av Canons sikkerhetsspesialister. Skriv spesielt ned følgende i e-posten:

• Typen sikkerhetsproblem
• Trinnvise instruksjoner for hvordan du gjengir sikkerhetsproblemet
• Hva det er du har gjort
• Hele URL-adressen
• Objekter (som filtre eller skrivefelt) kan være involvert
• Vi setter stor pris på skjermutskrift
• Angi IP-adressen din i svakhetsrapporten. Dette blir holdt privat for å spore testaktivitetene dine og gå gjennom loggene fra vår side

Vi godtar ikke utdata fra automatiske programvareskannere.

• Volumetriske / tjenestenektsikkerhetsproblemer (dvs. ganske enkelt å overvelde tjenesten med et høyt antall forespørsler)
• Svakheter i TLS-konfigurasjon (f.eks. svak støtte for krypteringssuite, støtte for TLS1.0, sweet32 osv.)
• Problemer som angår verifisering av e-postadresser som brukes til å opprette brukerkontoer relatert til myid.canon
• Selv-XSS
• Skript med blandet innhold på www.canon.*
• Usikre informasjonskapsler på www.canon.*
• CSRF- og CLRF-angrep der den resulterende påvirkningen er minimal
• HTTP-vertshode XSS uten fungerende bevis-på-konsept
• Ufullstendig/manglende SPF/DMARC/DKIM
• Angrep fra sosiale medier
• Sikkerhetsfeil på tredjeparts nettsteder som integreres med Canon
• Teknikker for nummerering av nettverksdata (f.eks. bannerplukking, at det finnes offentlig tilgjengelige serverdiagnostikksider)
• Rapporter som indikerer at tjenestene våre ikke er helt i tråd med «beste praksis»

Hva vi gjør med rapporten din

Canons eksperter på informasjonssikkerhet undersøker rapporten din og kontakter deg innen fem virkedager.

Vi bruker bare dine personlige opplysninger til å iverksette tiltak basert på rapporten din. Vi vil ikke dele dine personlige opplysninger med andre uten din uttrykkelige tillatelse.

Regler

Hvis du oppdager en svakhet og undersøker den, kan det hende at du utfører handlinger som er straffbare i henhold til loven. Hvis du følger reglene og prinsippene nedenfor for rapportering av svakheter i IT-systemene våre, vil vi ikke rapportere lovbruddet til myndighetene og vil ikke fremme et krav.

Det er imidlertid viktig at du vet at det offentlige aktorembetet – ikke CANON – kan avgjøre om du vil bli rettsforfulgt, selv om vi ikke har rapportert lovbruddet ditt til myndighetene. Det betyr at vi ikke kan garantere at du ikke vil bli rettsforfulgt hvis du begår en straffbar handling når du etterforsker en svakhet.

National Cyber Security Centre of the Ministry of Security and Justice har opprettet retningslinjer for rapportering av svakheter i IT-systemer. Våre regler er basert på disse retningslinjene. (https://english.ncsc.nl/)

Ta ansvar og opptre med ekstrem forsiktighet. Når du undersøker saken, må du bare bruke metoder eller teknikker som er nødvendige for å finne eller demonstrere svakhetene.

• Ikke bruk svakheter du oppdager til andre formål enn din egen undersøkelse.
• Ikke bruk sosial manipulasjon til å få tilgang til et system.
• Ikke installer noen bakdører, selv ikke for å demonstrere sikkerhetsproblemet i et system. Bakdører vil svekke systemets sikkerhet.
• Du må ikke endre eller slette informasjon i systemet. Hvis du trenger å kopiere informasjon til undersøkelsen, må du aldri kopiere mer enn du trenger. Hvis én post er tilstrekkelig, må du ikke gå lenger.
• Ikke endre systemet på noen måte.
• Infiltrer bare et system hvis det er absolutt nødvendig. Hvis du klarer å infiltrere et system, må du ikke dele tilgang med andre.
• Ikke bruk «rå kraft»-teknikker, for eksempel å legge inn passord flere ganger, for å få tilgang til systemer.
• Ikke bruk DoS-type angrep (Denial of Service) for å få tilgang

Vanlige spørsmål

Vil jeg motta en belønning for min undersøkelse?

Nei, du har ikke rett til noen kompensasjon.

Har jeg lov til å offentliggjøre svakhetene jeg finner og undersøkelsene mine?

Du må aldri offentliggjøre svakheter i Canon IT-systemer eller undersøkelser uten å rådføre deg med oss først via e-post: product-security@canon-europe.com. Vi kan samarbeide for å hindre at kriminelle misbruker informasjonen din. Ta kontakt med teamet vårt for informasjonssikkerhet, og vi kan samarbeide om publisering.

Kan jeg rapportere en svakhet anonymt?

Ja, det kan du. Du trenger ikke å oppgi navn og kontaktinformasjon når du rapporterer en svakhet. Vær imidlertid klar over at vi ikke kan snakke med deg om oppfølgingstiltak, for eksempel hva vi gjør med rapporten din eller videre samarbeid.

Hva skal jeg ikke bruke denne e-postadressen til?

E-posten: product-security@canon-europe.com er ikke ment for følgende:

• For å sende inn klager om Canon-produkter eller -tjenester
• For å sende inn spørsmål eller klager om tilgjengeligheten til Canons nettsteder.
• For å rapportere svindel eller mistanke om svindel
• For å rapportere falske e-postmeldinger eller phishing-e-postmeldinger
• For å rapportere virus