Berichte zu Schwachstellen

• Amazon Web Services (AWS): Falls Sie eine Schwachstelle melden möchten oder eine Frage zur Sicherheit von AWS-Cloud-Services oder Open-Source-Projekten haben, senden Sie die Informationen an aws-security@amazon.com. Falls Sie den Inhalt Ihrer Einreichung schützen wollen, können Sie unseren PGP-Schlüssel verwenden.
• Amazon.com (Einzelhandel): Falls Sie eine Frage zur Sicherheit der Website Amazon.com (Einzelhandel), von Seller Central oder Amazon Payments, oder ein anderes damit zusammenhängendes Problem haben, z. B. verdächtige Bestellungen, ungültige Kreditkartenbelastungen, verdächtige E-Mails, oder Fehler beim Melden von Schwachstellen, besuchen Sie unsere Website Sicherheit für den Einzelhandel.
• AWS-Kundensupportrichtlinie für Penetrationstests: AWS-Kunden sind eingeladen, ohne vorherige Genehmigung ihre AWS-Infrastruktur für aufgeführte Services Sicherheitsbewertungen oder Penetrationstests zu unterziehen. Eine Anforderung der Autorisierung für andere simulierte Ereignisse sollte über das Formular für simulierte Ereignisse eingereicht werden. Für Kunden, die in der Region AWS China (Ningxia und Peking) tätig sind, verwenden bitte dieses Formular für simulierte Ereignisse.
• AWS-Missbrauch: Falls Sie vermuten, dass AWS-Ressourcen (z. B. eine EC2-Instance oder ein S3-Bucket) für verdächtige Aktivitäten verwendet werden, können Sie dies dem AWS-Missbrauch-Team mithilfe des Formulars Amazon-AWS-Missbrauch melden oder durch Kontaktaufnahme mit abuse@amazonaws.com.
• Informationen zur AWS-Compliance: Der Zugriff auf AWS-Konformitätsberichte ist über AWS Artifact verfügbar. Wenn Sie weitere Fragen zur AWS-Compliance haben, wenden Sie sich bitte über das Aufnahmeformular an das Team.

Damit wir wirkungsvoller auf Ihre Meldung reagieren können, stellen Sie bitte sämtliche hilfreichen Informationen bereit (Code von Machbarkeitsnachweis, Ausgaben von Tools usw.), mit deren Hilfe wir Typ und Schweregrad der Schwachstelle bestimmen können.

Informationen, die Sie im Rahmen dieser Vorgehensweise an AWS weitergeben, werden innerhalb von AWS vertraulich behandelt. AWS gibt diese Informationen nur an Dritte weiter, wenn festgestellt wird, dass die von Ihnen gemeldete Schwachstelle ein Produkt eines Drittanbieters betrifft. In diesem Fall geben wir diese Informationen an den Autor oder Hersteller des Drittanbieterprodukts weiter. Andernfalls gibt AWS diese Informationen nur wie von Ihnen erlaubt weiter.

AWS überprüft den eingereichten Bericht und weist ihm eine Nachverfolgungsnummer zu. Anschließend antworten wir Ihnen, bestätigen den Eingang des Berichts und legen die nächsten Schritte im Prozess dar.

Die folgenden Aktivitäten sind für das AWS-Programm für Berichte zu Schwachstellen nicht zulässig. Die Durchführung einer der folgenden Aktivitäten führt zur dauerhaften Disqualifikation vom Programm.

• Anvisieren von Komponenten von AWS-Kunden oder von Nicht-AWS-Websites, die in unserer Infrastruktur gehostet werden
• Jede Schwachstelle, die durch die Gefährdung von AWS-Kunden- oder Mitarbeiterkonten entsteht
• Jeder Denial-of-Service-Angriff (DoS) gegen AWS-Produkte oder AWS-Kunden
• Physische Angriffe gegen AWS-Mitarbeiter, Büros und Rechenzentren
• Social Engineering von AWS-Mitarbeitern, Auftragnehmern, Händlern oder Service-Anbietern
• Das wissentliche Posten, Übertragen, Hochladen, Verknüpfen oder Senden von Malware
• Das Aufsuchen von Schwachstellen, die unerwünschte Massennachrichten senden (Spam)

AWS hat sich verpflichtet, schnell zu antworten und Sie über unsere Fortschritte zu informieren. Sie erhalten innerhalb von 24 Stunden eine nicht-automatisierte Antwort, die den Eingang Ihres ersten Berichts bestätigt, zeitnahe Aktualisierungen und monatliche Überprüfungen während des gesamten Projekts. Sie können jederzeit Aktualisierungen anfordern, und wir freuen uns über den Dialog, der Bedenken klärt oder die Offenlegung koordiniert.

Sofern zutreffend, koordiniert AWS die öffentliche Bekanntgabe einer bestätigten Schwachstelle mit Ihnen. Wir ziehen es nach Möglichkeit vor, dass unsere jeweiligen öffentlichen Bekanntgaben gleichzeitig veröffentlicht werden.

Zum Schutz unserer Kunden bittet AWS Sie, keine Informationen zu einer potenziellen Schwachstelle zu veröffentlichen, bis wir die gemeldete Schwachstelle untersucht, darauf reagiert, uns ihrer angenommen und Kunden bei Bedarf informiert haben. Außerdem bitten wir Sie höflich, keine Daten zu veröffentlichen oder mit anderen zu teilen, die unseren Kunden gehören. Das Beheben einer gültigen gemeldeten Schwachstelle dauert einige Zeit, und der Zeitplan hängt vom Schweregrad der Schwachstelle und von den betroffenen Systemen ab.

AWS macht öffentliche Bekanntgaben in Form von Sicherheitsberichten, die im AWS-Sicherheitszentrum veröffentlicht werden. Einzelpersonen, Unternehmen und Sicherheitsteams veröffentlichen ihre Ratschläge zumeist auf ihren eigenen Websites oder in anderen Foren. Sofern relevant, fügen wir in AWS-Sicherheitsberichten Links zu den Ressourcen von Dritten hinzu.  

AWS ist der Ansicht, dass eine nach Treu und Glauben durchgeführte Sicherheitsforschung mit großer Sorgfalt durchgeführt werden sollte. Zum Zwecke des sicheren Hafens für Sicherheitsforschungen und die Meldung von Schwachstellen hat AWS Security die Kernbedingungen von disclose.io übernommen, insbesondere „Safe Harbor“ und „Unsere Erwartungen“. Wir freuen uns auf die Zusammenarbeit mit Sicherheitsforschern, die unsere Leidenschaft für den Schutz von AWS-Kunden teilen.

Dementsprechend betrachten wir die im Rahmen dieser Richtlinie durchgeführte Sicherheitsforschung als Folgendes:

• Wir sind in Bezug auf alle geltenden Anti-Hacking-Gesetze autorisiert, und wir werden keine rechtlichen Schritte gegen Sie wegen versehentlicher, gutgläubiger Verstöße gegen diese Richtlinie einleiten oder unterstützen;
• Wir sind in Bezug auf alle relevanten Gesetze zur Bekämpfung von Umgehungen autorisiert, und wir werden keine Ansprüche gegen Sie wegen Umgehung von Technologiekontrollen geltend machen;
• Wir sind von Einschränkungen in unseren Service-Bedingungen und/oder Richtlinien zur akzeptablen Nutzung ausgenommen, die die Durchführung von Sicherheitsforschungen behindern würden, und wir verzichten auf diese Beschränkungen auf einer begrenzten Basis; und
• Rechtmäßig, zur allgemeinen Sicherheit des Internets hilfreich und in gutem Glauben durchgeführt.

Wie immer wird von Ihnen erwartet, dass Sie alle geltenden Gesetze einhalten. Wenn ein Dritter rechtliche Schritte gegen Sie einleitet und Sie diese Richtlinie eingehalten haben, werden wir Maßnahmen ergreifen, um bekannt zu geben, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.

Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder sich nicht sicher sind, ob Ihre Sicherheitsforschung mit dieser Richtlinie übereinstimmt, reichen Sie bitte einen Bericht über einen unserer zuvor genannten Kanäle unter „Meldung vermuteter Schwachstellen“ ein, bevor Sie fortfahren.

Beachten Sie, dass die Safe-Harbor-Richtlinie nur für Rechtsansprüche gilt, die unter der Kontrolle der an dieser Richtlinie beteiligten Organisation stehen, und dass diese Richtlinie keine unabhängigen Dritten bindet.

Wenn Sie in gutem Glauben an unserem Programm zur Offenlegung von Schwachstellen teilnehmen, bitten wir Sie folgendes:

• Halten Sie sich an die Regeln, einschließlich der Einhaltung dieser Richtlinie und aller anderen relevanten Vereinbarungen. Bei Widersprüchen zwischen dieser Richtlinie und anderen geltenden Bedingungen haben die Bedingungen dieser Richtlinie Vorrang;
• Melden Sie alle Schwachstellen, die Sie entdeckt haben, umgehend;
• Vermeiden Sie es, die Privatsphäre anderer zu verletzen, unsere Systeme zu stören, Daten zu zerstören und/oder die Benutzererfahrung zu beeinträchtigen;
• Verwenden Sie nur die zuvor genannten Kanäle, um Schwachstellen mit uns zu besprechen;
• Geben Sie uns ab dem ersten Bericht einen angemessenen Zeitraum, um das Problem zu lösen, bevor Sie es öffentlich bekannt geben;
• Führen Sie Tests nur an Systemen durch, die im Geltungsbereich enthalten sind, und respektieren Sie Systeme und Aktivitäten, die außerhalb des Geltungsbereichs liegen;
• Wenn eine Schwachstelle einen unbeabsichtigten Zugriff auf Daten ermöglicht: Beschränken Sie die Datenmenge, auf die Sie zugreifen, auf das Minimum, das für den effektiven Nachweis eines Machbarkeitsnachweises erforderlich ist. und beenden Sie Tests und übermitteln Sie sofort einen Bericht, wenn Sie während des Tests auf Benutzerdaten stoßen, wie z. B. persönlich identifizierbare Informationen (PII), persönliche Gesundheitsinformationen (PHI), Kreditkartendaten oder geschützte Informationen;
• Interagieren Sie nur mit Testkonten, die Ihnen gehören, oder mit ausdrücklicher Genehmigung des Kontoinhabers; und
• Beteiligen Sie sich nicht an Erpressung.