Introductie
D2L zet zich in om de veiligheid van de producten en diensten die we leveren te waarborgen en om ervoor te zorgen dat de informatie die ons door onze klanten en gebruikers wordt toevertrouwd, wordt beschermd. Dit beleid is bedoeld om beveiligingsonderzoekers duidelijke richtlijnen te geven voor het uitvoeren van activiteiten voor het ontdekken van kwetsbaarheden en om onze voorkeuren over te brengen voor het indienen van ontdekte kwetsbaarheden bij ons.
In dit beleid wordt beschreven welke systemen en soorten onderzoek onder dit beleid vallen, hoe u ons kwetsbaarheidsrapporten kunt sturen en hoe lang we beveiligingsonderzoekers vragen te wachten voordat ze kwetsbaarheden openbaar maken.
We raden u aan contact met ons op te nemen om mogelijke kwetsbaarheden in onze systemen te melden.
Machtiging
Als u zich te goeder trouw inspant om tijdens uw beveiligingsonderzoek aan dit beleid te voldoen, zullen we uw onderzoek als geautoriseerd beschouwen, we zullen met u samenwerken om het probleem snel te begrijpen en op te lossen, en D2L zal geen juridische stappen aanbevelen of ondernemen met betrekking tot uw onderzoek. Mochten er door een derde partij juridische stappen tegen u worden ondernomen voor activiteiten die in overeenstemming met dit beleid zijn uitgevoerd, dan zullen wij deze machtiging kenbaar maken.
Richtsnoeren
In het kader van dit beleid betekent "onderzoek" activiteiten waarbij u:
- Breng ons zo snel mogelijk op de hoogte nadat u een echt of potentieel beveiligingsprobleem hebt ontdekt.
- Doe er alles aan om privacyschendingen, verslechtering van de gebruikerservaring, verstoring van productiesystemen en vernietiging of manipulatie van gegevens te voorkomen.
- Gebruik exploits alleen voor zover dat nodig is om de aanwezigheid van een kwetsbaarheid te bevestigen. Gebruik geen exploit om gegevens te compromitteren of te exfiltreren, permanente opdrachtregeltoegang tot stand te brengen of de exploit te gebruiken om naar andere systemen te draaien.
- Geef ons een redelijke termijn om het probleem op te lossen voordat u het openbaar maakt.
- Dien geen groot aantal rapporten van lage kwaliteit in.
Zodra u hebt vastgesteld dat er een kwetsbaarheid bestaat of gevoelige gegevens tegenkomt (inclusief persoonlijk identificeerbare informatie, financiële informatie of bedrijfseigen informatie of handelsgeheimen van een partij), U moet uw test stopzetten, ons onmiddellijk op de hoogte stellen en deze gegevens aan niemand anders bekendmaken.
Testmethoden
De volgende testmethoden zijn niet toegestaan:
- Network denial of service (DoS of DDoS)-tests of andere tests die de toegang tot een systeem of gegevens belemmeren of beschadigen
- Fysieke tests (bijv. toegang tot kantoren, open deuren, bumperkleven), social engineering (bijv. phishing, vishing) of andere niet-technische kwetsbaarheidstests
Draagwijdte
Dit beleid is van toepassing op:
- Instanties van het D2L Brightspace LMS
- Instanties van D2L Wave
- API's en services die Brightspace en Wave ondersteunen
- Broncode gepubliceerd op https://github.com/Brightspace
- d2l.com
Voor het testen op klantinstanties is autorisatie van de bijbehorende klant vereist. Als u toegang wilt tot een exemplaar van Brightspace of Wave om tegen te testen, neem dan contact met ons op via security@d2l.com.
Alle diensten die hierboven niet uitdrukkelijk worden vermeld, zoals verbonden diensten, zijn uitgesloten van het toepassingsgebied en zijn niet geautoriseerd om te testen. Bovendien vallen kwetsbaarheden in systemen van onze leveranciers buiten het bereik van dit beleid en moeten ze rechtstreeks aan de leverancier worden gemeld in overeenstemming met hun openbaarmakingsbeleid (indien aanwezig). Als u niet zeker weet of een systeem binnen de scope valt of niet, neem dan contact met ons op via security@d2l.com voordat je aan je onderzoek begint.
Hoewel we andere systemen of diensten ontwikkelen en onderhouden die toegankelijk zijn via internet, vragen we dat Actief onderzoek en testen alleen worden uitgevoerd op de systemen en diensten die onder het toepassingsgebied van dit document vallen. Als er een bepaald systeem is dat niet binnen het bereik valt en waarvan u denkt dat het testen waard is, neem dan eerst contact met ons op om dit te bespreken.
Alle hierboven genoemde systemen komen in aanmerking voor premies.
Melden van een kwetsbaarheid
Informatie die onder dit beleid wordt ingediend, wordt alleen gebruikt voor defensieve doeleinden, om kwetsbaarheden te beperken of te verhelpen. Als uw bevindingen nieuw ontdekte kwetsbaarheden bevatten die van invloed zijn op alle gebruikers van een product of dienst en niet alleen op D2L, kunnen we uw melding delen met het beveiligingsteam van het getroffen product of de getroffen dienst. We zullen uw naam of contactgegevens niet delen zonder uitdrukkelijke toestemming.
We accepteren meldingen van kwetsbaarheden via incident@d2l.com. Meldingen kunnen anoniem worden ingediend. Als u contactgegevens deelt, bevestigen wij de ontvangst van uw melding binnen 3 werkdagen. We ondersteunen geen PGP-gecodeerde e-mails.
Wat we graag van je zouden willen zien
Om ons te helpen bij het sorteren en prioriteren van inzendingen, raden we u aan het volgende te doen:
- Beschrijf de locatie waar de kwetsbaarheid is ontdekt en de mogelijke impact van misbruik.
- Bied een gedetailleerde beschrijving van de stappen die nodig zijn om de kwetsbaarheid te reproduceren (proof of concept-scripts of screenshots zijn nuttig).
- Wees indien mogelijk in het Engels.
Wat u van ons kunt verwachten
Wanneer u ervoor kiest om uw contactgegevens met ons te delen, verbinden wij ons ertoe om zo open en zo snel mogelijk met u te coördineren.
- Binnen 3 werkdagen bevestigen wij dat uw melding is ontvangen.
- We zullen naar ons beste vermogen het bestaan van de kwetsbaarheid aan u bevestigen en zo transparant mogelijk zijn over de stappen die we nemen tijdens het herstelproces, inclusief over problemen of uitdagingen die de oplossing kunnen vertragen.
- We zullen een open dialoog voeren om problemen te bespreken.
Vragen
Vragen over dit beleid kunnen worden gestuurd naar security@d2l.com. We nodigen u ook uit om contact met ons op te nemen met suggesties om dit beleid te verbeteren.