Letzte Aktualisierung:9 /10 /2021
Ursprünglich veröffentlicht:9 /10 /2021

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Letzte Aktualisierung:9 /17 /2020
Ursprünglich veröffentlicht:9 /1 /2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Letzte Aktualisierung:9 /1 /2020
Ursprünglich veröffentlicht:9 /1 /2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Letzte Aktualisierung:8 /2 /2020
Ursprünglich veröffentlicht:8 /2 /2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Letzte Aktualisierung:5 /8 /2020
Ursprünglich veröffentlicht:5 /8 /2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Letzte Aktualisierung:3 /9 /2020
Ursprünglich veröffentlicht:3 /9 /2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Solution

Nitro empfiehlt Kunden, die über den Nitro eCommerce Store gekauft haben, ihre Software auf die neueste Version unten zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Plänen, denen ein Customer Success Manager zugewiesen ist, erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

For more information, please contact the Nitro Security Team at security@gonitro.com

Letzte Aktualisierung:1 /9 /2020
Ursprünglich veröffentlicht:10 /31 /2019

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Solution

Nitro empfiehlt Kunden, die über den Nitro eCommerce Store gekauft haben, ihre Software auf die neueste Version unten zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Plänen, denen ein Customer Success Manager zugewiesen ist, erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

For more information, please contact the Nitro Security Team at security@gonitro.com

Letzte Aktualisierung:12 /20 /2019
Ursprünglich veröffentlicht:12 /20 /2019

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Solution

Nitro empfiehlt Kunden, die über den Nitro eCommerce Store gekauft haben, ihre Software auf die neueste Version unten zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Plänen, denen ein Customer Success Manager zugewiesen ist, erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

For more information, please contact the Nitro Security Team at security@gonitro.com

Letzte Aktualisierung:10 /18 /2019
Ursprünglich veröffentlicht:10 /18 /2019

Update

Nitro arbeitet aktiv daran, mehrere kürzlich veröffentlichte potenzielle Schwachstellen zu beheben. Nachdem wir auf ihre Existenz aufmerksam gemacht wurden, bewerteten wir die Richtigkeit der Behauptungen, bewerteten den Schweregrad und die Wahrscheinlichkeit einer Ausnutzung und (basierend auf unseren bestehenden proaktiven Schwachstellenanalyse- und Behandlungsverfahren) stellen wir die Schwachstellen dann in unsere Behebungswarteschlange.

Wir nehmen diese Sicherheitslücken ernst und werden sie in einem kommenden Update beheben. Für weitere Informationen wenden Sie sich bitte an security@gonitro.com.

Letzte Aktualisierung:11 /17 /2017
Ursprünglich veröffentlicht:11 /17 /2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Solution

Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version unten zu aktualisieren. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugang zu Sicherheitsupdates und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

For more information, please contact the Nitro Security Team at security@gonitro.com

Letzte Aktualisierung:9 /27 /2017
Ursprünglich veröffentlicht:9 /27 /2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Solution

Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version unten zu aktualisieren. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugang zu Sicherheitsupdates und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

For more information, please contact the Nitro Security Team at security@gonitro.com

Ursprünglich veröffentlicht:7 /21 /2017

Letzte Aktualisierung: 8 / 25 / 2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Solution

Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version zu aktualisieren, die Korrekturen für diese Schwachstellen enthält. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf die neueste Version und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

For more information, please contact the Nitro Security Team at security@gonitro.com

Ursprünglich veröffentlicht:2 /3 /2017

Letzte Aktualisierung: 8 / 25 / 2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Solution

Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version zu aktualisieren, die Korrekturen für diese Schwachstellen enthält. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf die neueste Version und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

For more information, please contact the Nitro Security Team at security@gonitro.com

Nitro Security Vulnerability & Bug Bounty Policy

Politik

Nitro ist stolz darauf, einige historische Produktupdates für Sicherheitslücken benötigt zu haben. Der Schutz der Benutzerinformationen hat für uns bei Nitro oberste Priorität und ist ein zentraler Unternehmenswert. Wir begrüßen den Beitrag externer Sicherheitsforscher und freuen uns, sie für ihren unschätzbaren Beitrag zur Sicherheit aller Nitro-Benutzer auszuzeichnen.

Belohnungen

Nitro stellt nach eigenem Ermessen Belohnungen für akzeptierte Schwachstellenberichte bereit. Unsere Mindestprämie beträgt $25 USD Amazon-Geschenkkarte. Die Höhe der Prämien kann je nach Schweregrad der gemeldeten Sicherheitslücke und Qualität der Meldung variieren. Denken Sie daran, dass dies kein Wettbewerb oder Wettbewerb ist. Wir behalten uns das Recht vor, die Höhe oder sogar die Gewährung einer Prämie zu bestimmen.

Anwendungen im Geltungsbereich

Nitro Pro-, Nitro Sign- und Nitro Admin-Anwendungen sind für das Bounty-Programm berechtigt. Darüber hinaus sind alle Cloud-basierten Partnerplattformanwendungen ebenfalls berechtigt (z. B. Nitro File Actions). Wir können dennoch alles mit erheblichen Auswirkungen auf unsere gesamte Sicherheitslage belohnen, daher empfehlen wir Ihnen, solche Schwachstellen über dieses Programm zu melden.

Berichterstattung und Berechtigung zu Sicherheitslücken

All Nitro security vulnerabilities should be reported via email to the Nitro Security Team at security@gonitro.com. To promote the discovery and reporting of vulnerabilities and increase user safety, we ask that you:

• Teilen Sie uns das Sicherheitsproblem im Detail mit, einschließlich des Anwendungsnamens, der betroffenen Version/des betroffenen Builds, prägnanter Schritte zur Reproduktion der Schwachstelle, die leicht verständlich sind, Informationen zu den tatsächlichen und potenziellen Auswirkungen der Schwachstelle und Details dazu, wie sie ausgenutzt werden könnte;
• Fügen Sie eine Proof-of-Concept-Datei hinzu;
• Bitte respektieren Sie unsere bestehenden Anwendungen. Das Spammen von Formularen durch automatisierte Schwachstellen-Scanner führt zu keiner Kopfgeldprämie, da diese ausdrücklich außerhalb des Geltungsbereichs liegen;
• Geben Sie uns eine angemessene Zeit, um auf das Problem zu reagieren, bevor Sie Informationen darüber veröffentlichen;
• Greifen Sie ohne ausdrückliche Zustimmung des Eigentümers nicht auf unsere Daten oder die Daten unserer Benutzer zu oder ändern Sie sie. Interagieren Sie nur zu Sicherheitsforschungszwecken mit Ihren eigenen Konten oder Testkonten;
• Kontaktieren Sie uns umgehend, wenn Sie versehentlich auf Benutzerdaten stoßen. Sie dürfen die Daten nicht anzeigen, ändern, speichern, speichern, übertragen oder auf andere Weise darauf zugreifen und alle lokalen Informationen sofort löschen, wenn Nitro die Sicherheitslücke gemeldet wird;
• Handeln Sie in gutem Glauben, um Datenschutzverletzungen, Datenvernichtung und Unterbrechung oder Verschlechterung unserer Dienste (einschließlich Denial-of-Service) zu vermeiden; und
• Ansonsten alle geltenden Gesetze einhalten.

Wir belohnen nur den ersten Melder einer Schwachstelle. Die öffentliche Offenlegung der Sicherheitsanfälligkeit vor der Behebung kann eine ausstehende Belohnung stornieren. Wir behalten uns das Recht vor, Personen wegen respektlosem oder störendem Verhalten vom Programm auszuschließen.

Wir verhandeln nicht als Reaktion auf Zwang oder Drohungen (z. B. verhandeln wir den Auszahlungsbetrag nicht unter Androhung der Zurückhaltung der Schwachstelle oder der Androhung der Offenlegung der Schwachstelle oder offengelegter Daten an die Öffentlichkeit).

Sicherheitslückenprozess:

(1 ) Nitro wird jede gemeldete Schwachstelle gemäß den obigen Anweisungen anerkennen und bewerten, normalerweise innerhalb von7 Tage.

(2 ) Wenn eine Schwachstelle bestätigt wird, führt Nitro eine Risikoanalyse mit dem Common Vulnerability Scoring System (CVSS v3 ) und bestimmen Sie die am besten geeignete Reaktion für Nitro-Kunden.

• Critical Security Vulnerabilities: Issues within the software that, if not addressed, pose a high risk and probability of unauthorized access, alteration or destruction of information on a user's computer or connected computers. Nitro will resolve critical security vulnerabilities with a Product Update to the Current and Previous Release of Nitro Pro, and all cloud services, according to the Product Updates & Sunset Policy.
• Non-Critical Security Vulnerabilities: Issues within the software that, if not addressed, pose a low to moderate risk and probability of unauthorized access, alteration or destruction of information on a user's computer or connected computers. Nitro at its discretion, will resolve Non-Critical Security Vulnerabilities with a Product Update to the Current Release of Nitro Pro only, and all cloud services according to the Product Updates & Sunset Policy.

(3 ) Nitro entwirft, implementiert und testet einen Fix für alle kritischen Sicherheitslücken und stellt den Kunden ein Produkt-Update zur Verfügung, normalerweise innerhalb von90 Tage.

(4 ) Nitro wird alle kritischen Sicherheitsschwachstellen, betroffene Versionen und relevante Details von Produktupdates, die die Probleme beheben, auf dieser Nitro-Sicherheitsupdate-Seite öffentlich offenlegen. Nitro erkennt einzelne Sicherheitsforscher nicht öffentlich für ihre Einreichungen an.

Außerhalb des Geltungsbereichs liegende Sicherheitslücken

Die folgenden Themen fallen nicht in den Geltungsbereich dieses Richtlinien- und Prämienprogramms:

• Angriffe, die physischen Zugriff auf das Gerät eines Benutzers erfordern.
• Fehlende Sicherheitsheader, die nicht direkt zu einer Schwachstelle führen.
• Fehlende Best Practices (wir benötigen den Nachweis einer Sicherheitslücke).
• Verwendung einer als angreifbar bekannten Bibliothek (ohne Nachweis der Ausnutzbarkeit).
• Social Engineering von Nitro-Mitarbeitern oder Auftragnehmern.
• Berichte über unsichere SSL/TLS-Verschlüsselungen (es sei denn, Sie haben einen funktionierenden Proof of Concept und nicht nur einen Bericht von einem Scanner).
• Inhalts-Spoofing und reine Textinjektions-Schwachstellen (wo Sie nur Text oder ein Bild in eine Seite einfügen können). Wir akzeptieren und beheben eine Spoofing-Sicherheitslücke, bei der ein Angreifer Bilder oder Rich Text (HTML) einschleusen kann, die jedoch nicht für ein Kopfgeld berechtigt sind.
• Nitro-Dienste, es sei denn, Sie können private IPs oder Nitro-Server erreichen.

Folgen der Einhaltung dieser Richtlinie

Wir werden keine zivilrechtlichen Schritte einleiten oder eine Beschwerde bei den Strafverfolgungsbehörden einreichen, wenn versehentlich und in gutem Glauben gegen diese Richtlinie verstoßen wird. Wir betrachten Aktivitäten, die in Übereinstimmung mit dieser Richtlinie durchgeführt werden, als „autorisiertes“ Verhalten im Sinne des Computerbetrugs- und Missbrauchsgesetzes. Soweit Ihre Aktivitäten nicht mit bestimmten Einschränkungen in unserer Richtlinie zur akzeptablen Nutzung vereinbar sind, verzichten wir auf diese Einschränkungen, um die Sicherheitsforschung gemäß dieser Richtlinie zu gestatten. Wir werden keinen DMCA-Anspruch gegen Sie wegen Umgehung der technischen Maßnahmen erheben, die wir zum Schutz der Anwendungen im Anwendungsbereich eingesetzt haben.

Wenn von einem Dritten rechtliche Schritte gegen Sie eingeleitet werden und Sie die Richtlinie zu Sicherheitslücken und Bug-Bounty von Nitro eingehalten haben, wird Nitro Schritte unternehmen, um bekannt zu machen, dass Ihre Maßnahmen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.

Bitte reichen Sie uns einen Bericht ein, bevor Sie sich an Verhaltensweisen beteiligen, die möglicherweise nicht mit dieser Richtlinie in Einklang stehen oder von dieser nicht angesprochen werden.

Das Kleingedruckte

Sie sind für die Zahlung aller Steuern im Zusammenhang mit Prämien verantwortlich. Wir können die Bedingungen dieses Programms jederzeit ändern oder dieses Programm beenden. Wir werden keine Änderungen, die wir an diesen Programmbedingungen vornehmen, rückwirkend anwenden. Berichte von Personen, deren Zahlung uns gesetzlich untersagt ist, sind nicht prämienberechtigt. Nitro-Mitarbeiter und deren Familienmitglieder haben keinen Anspruch auf Prämien.

Um die Einführung von Bug-Bounty-Programmen zu fördern und einheitliche Best Practices für die Sicherheit in der gesamten Branche zu fördern, behält sich Nitro keine Rechte an dieser Bug-Bounty-Richtlinie vor und es steht Ihnen daher frei, sie für Ihre eigenen Zwecke zu kopieren und zu ändern.

For more information, please contact the Nitro Security Team at security@gonitro.com

Sicherheitsvorfall-Update

Im September30 ,2020 wurde Nitro von einem vereinzelten Sicherheitsvorfall mit eingeschränktem Zugriff auf Nitro-Datenbanken durch einen nicht autorisierten Dritten Kenntnis genommen.

Als Nitro von diesem Vorfall erfuhr, ergriff Nitro sofort Maßnahmen, um die Sicherheit der Nitro-Umgebung zu gewährleisten, und leitete mit Unterstützung führender Cybersicherheits- und Forensik-Experten eine Untersuchung ein. Die Untersuchung ist nun abgeschlossen und Nitro kann weitere Details mitteilen:

• Der Vorfall betraf den Zugriff auf spezielle Nitro-Datenbanken, die bestimmte Online-Dienste unterstützen und in erster Linie zur Speicherung von Informationen im Zusammenhang mit den kostenlosen Online-Produkten von Nitro verwendet wurden.
• Für den kostenlosen Online-Konvertierungsservice von Nitro müssen Benutzer kein Nitro-Konto erstellen oder Nitro-Kunde werden. Benutzer müssen lediglich eine E-Mail-Adresse angeben, an die die konvertierten Dateien geliefert werden.
• Es gab keine Auswirkungen auf Nitro Pro oder Nitro Analytics.
• Zu den offengelegten Benutzerdaten gehörten Benutzer-E-Mail-Adressen, vollständige Namen, hochsichere Hash- und Salted-Passwörter sowie Dokument-Metadaten in Bezug auf die Nitro-Onlinedienste. Ein sehr kleiner Teil der Informationen umfasste Firmennamen, Titel und IP-Adressen.
• Passwörter für Benutzer, die über Single Sign-On (SSO) auf unsere Cloud-Dienste zugreifen, waren nicht betroffen.
• Die Untersuchung ergab außerdem begrenzte Aktivitäten des nicht autorisierten Dritten an einem Standort von Legacy-Cloud-Diensten, die sich auf weniger als0 .0073 % der gespeicherten Daten an diesem Ort. Die Aktivität deutet darauf hin, dass sich der nicht autorisierte Dritte speziell darauf konzentriert hat, Daten im Zusammenhang mit Kryptowährung zu erhalten.

Als Nitro von diesem Vorfall erfuhr, führte Nitro für alle Benutzer eine erzwungene Passwortzurücksetzung durch, um die Kundenkonten weiter zu schützen. Darüber hinaus umfasst die allgemeine Anleitung zur Aufrechterhaltung einer guten Cyberhygiene:

• Regelmäßiges Ändern der Passwörter für Online-Konten, Verwendung eines separaten Passworts für das Online-Banking und Verwendung eines Passwort-Managers, um sich mehrere Passwörter zu merken.
• Never emailing passwords for online accounts and confirming if online accounts are secure by visiting https://haveibeenpwned.com/.
• Aktivieren Sie nach Möglichkeit die Multi-Faktor-Authentifizierung für Online-Konten und stellen Sie sicher, dass auf jedem Gerät, das für den Zugriff auf Online-Konten verwendet wird, eine aktuelle Antivirensoftware installiert ist.

Seit dem Vorfall arbeitet das Nitro IT-Sicherheitsteam eng mit externen Cybersicherheitsexperten zusammen, um die Sicherheit aller Systeme zu erhöhen, einschließlich verbesserter Protokollierungs-, Erkennungs- und Warndienste in allen Regionen sowie einer verstärkten Datenüberwachung und Neubewertung aller Protokolle . Die IT-Umgebung bleibt sicher und Nitro hat seit dem Vorfall keine bösartigen Aktivitäten festgestellt.

Nitro takes the safety and security of our customers’ data seriously, and we are here to support our customers in any way that may be helpful. We encourage anyone with questions to contact incident@gonitro.com.