Letzte Aktualisierung:10 /25 /2021
Ursprünglich veröffentlicht:10 /25 /2021

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Letzte Aktualisierung:9 /10 /2021
Ursprünglich veröffentlicht:9 /10 /2021

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Letzte Aktualisierung:9 /17 /2020
Ursprünglich veröffentlicht:9 /1 /2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Letzte Aktualisierung:9 /1 /2020
Ursprünglich veröffentlicht:9 /1 /2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Letzte Aktualisierung:8 /2 /2020
Ursprünglich veröffentlicht:8 /2 /2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Letzte Aktualisierung:5 /8 /2020
Ursprünglich veröffentlicht:5 /8 /2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Letzte Aktualisierung:3 /9 /2020
Ursprünglich veröffentlicht:3 /9 /2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Lösung

Nitro empfiehlt Kunden, die über den Nitro eCommerce Store gekauft haben, ihre Software auf die neueste Version unten zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Plänen, denen ein Customer Success Manager zugewiesen ist, erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter security@gonitro.com

Letzte Aktualisierung:1 /9 /2020
Ursprünglich veröffentlicht:10 /31 /2019

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Lösung

Nitro empfiehlt Kunden, die über den Nitro eCommerce Store gekauft haben, ihre Software auf die neueste Version unten zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Plänen, denen ein Customer Success Manager zugewiesen ist, erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter security@gonitro.com

Letzte Aktualisierung:12 /20 /2019
Ursprünglich veröffentlicht:12 /20 /2019

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Lösung

Nitro empfiehlt Kunden, die über den Nitro eCommerce Store gekauft haben, ihre Software auf die neueste Version unten zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Plänen, denen ein Customer Success Manager zugewiesen ist, erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter security@gonitro.com

Letzte Aktualisierung:10 /18 /2019
Ursprünglich veröffentlicht:10 /18 /2019

Update

Nitro arbeitet aktiv daran, mehrere kürzlich veröffentlichte potenzielle Schwachstellen zu beheben. Nachdem wir auf ihre Existenz aufmerksam gemacht wurden, bewerteten wir die Richtigkeit der Behauptungen, bewerteten den Schweregrad und die Wahrscheinlichkeit einer Ausnutzung und (basierend auf unseren bestehenden proaktiven Schwachstellenanalyse- und Behandlungsverfahren) stellen wir die Schwachstellen dann in unsere Behebungswarteschlange.

Wir nehmen diese Sicherheitslücken ernst und werden sie in einem kommenden Update beheben. Für weitere Informationen wenden Sie sich bitte an security@gonitro.com.

Letzte Aktualisierung:11 /17 /2017
Ursprünglich veröffentlicht:11 /17 /2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Lösung

Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version unten zu aktualisieren. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugang zu Sicherheitsupdates und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter security@gonitro.com

Letzte Aktualisierung:9 /27 /2017
Ursprünglich veröffentlicht:9 /27 /2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Lösung

Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version unten zu aktualisieren. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugang zu Sicherheitsupdates und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter security@gonitro.com

Ursprünglich veröffentlicht:7 /21 /2017

Letzte Aktualisierung: 8 / 25 / 2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Lösung

Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version zu aktualisieren, die Korrekturen für diese Schwachstellen enthält. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf die neueste Version und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter security@gonitro.com

Ursprünglich veröffentlicht:2 /3 /2017

Letzte Aktualisierung: 8 / 25 / 2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken schließt.

Lösung

Nitro empfiehlt persönlichen (einzelnen) Benutzern, ihre Software auf die neueste Version zu aktualisieren, die Korrekturen für diese Schwachstellen enthält. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf die neueste Version und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem dedizierten Customer Success Manager erhalten Details zu aktualisierten Versionen, die die Probleme beheben.

Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter security@gonitro.com

Nitro Security Vulnerability & Bug Bounty Policy

Politik

Nitro ist stolz darauf, einige historische Produktupdates für Sicherheitslücken benötigt zu haben. Der Schutz der Benutzerinformationen hat für uns bei Nitro oberste Priorität und ist ein zentraler Unternehmenswert. Wir begrüßen den Beitrag externer Sicherheitsforscher und freuen uns, sie für ihren unschätzbaren Beitrag zur Sicherheit aller Nitro-Benutzer auszuzeichnen.

Belohnungen

Nitro stellt nach eigenem Ermessen Belohnungen für akzeptierte Schwachstellenberichte bereit. Unsere Mindestprämie beträgt $25 USD Amazon-Geschenkkarte. Die Höhe der Prämien kann je nach Schweregrad der gemeldeten Sicherheitslücke und Qualität der Meldung variieren. Denken Sie daran, dass dies kein Wettbewerb oder Wettbewerb ist. Wir behalten uns das Recht vor, die Höhe oder sogar die Gewährung einer Prämie zu bestimmen.

Anwendungen im Geltungsbereich

Nitro Pro-, Nitro Sign- und Nitro Admin-Anwendungen sind für das Bounty-Programm berechtigt. Darüber hinaus sind alle Cloud-basierten Partnerplattformanwendungen ebenfalls berechtigt (z. B. Nitro File Actions). Wir können dennoch alles mit erheblichen Auswirkungen auf unsere gesamte Sicherheitslage belohnen, daher empfehlen wir Ihnen, solche Schwachstellen über dieses Programm zu melden.

Berichterstattung und Berechtigung zu Sicherheitslücken

Alle Nitro-Sicherheitslücken sollten per E-Mail an das Nitro-Sicherheitsteam unter security@gonitro.com gemeldet werden. Um die Erkennung und Meldung von Schwachstellen zu fördern und die Benutzersicherheit zu erhöhen, bitten wir Sie:

• Teilen Sie uns das Sicherheitsproblem im Detail mit, einschließlich des Anwendungsnamens, der betroffenen Version/des betroffenen Builds, prägnanter Schritte zur Reproduktion der Schwachstelle, die leicht verständlich sind, Informationen zu den tatsächlichen und potenziellen Auswirkungen der Schwachstelle und Details dazu, wie sie ausgenutzt werden könnte;
• Fügen Sie eine Proof-of-Concept-Datei hinzu;
• Bitte respektieren Sie unsere bestehenden Anwendungen. Das Spammen von Formularen durch automatisierte Schwachstellen-Scanner führt zu keiner Kopfgeldprämie, da diese ausdrücklich außerhalb des Geltungsbereichs liegen;
• Geben Sie uns eine angemessene Zeit, um auf das Problem zu reagieren, bevor Sie Informationen darüber veröffentlichen;
• Greifen Sie ohne ausdrückliche Zustimmung des Eigentümers nicht auf unsere Daten oder die Daten unserer Benutzer zu oder ändern Sie sie. Interagieren Sie nur zu Sicherheitsforschungszwecken mit Ihren eigenen Konten oder Testkonten;
• Kontaktieren Sie uns umgehend, wenn Sie versehentlich auf Benutzerdaten stoßen. Sie dürfen die Daten nicht anzeigen, ändern, speichern, speichern, übertragen oder auf andere Weise darauf zugreifen und alle lokalen Informationen sofort löschen, wenn Nitro die Sicherheitslücke gemeldet wird;
• Handeln Sie in gutem Glauben, um Datenschutzverletzungen, Datenvernichtung und Unterbrechung oder Verschlechterung unserer Dienste (einschließlich Denial-of-Service) zu vermeiden; und
• Ansonsten alle geltenden Gesetze einhalten.

Wir belohnen nur den ersten Melder einer Schwachstelle. Die öffentliche Offenlegung der Sicherheitsanfälligkeit vor der Behebung kann eine ausstehende Belohnung stornieren. Wir behalten uns das Recht vor, Personen wegen respektlosem oder störendem Verhalten vom Programm auszuschließen.

Wir verhandeln nicht als Reaktion auf Zwang oder Drohungen (z. B. verhandeln wir den Auszahlungsbetrag nicht unter Androhung der Zurückhaltung der Schwachstelle oder der Androhung der Offenlegung der Schwachstelle oder offengelegter Daten an die Öffentlichkeit).

Sicherheitslückenprozess:

(1 ) Nitro wird jede gemeldete Schwachstelle gemäß den obigen Anweisungen anerkennen und bewerten, normalerweise innerhalb von7 Tage.

(2 ) Wenn eine Schwachstelle bestätigt wird, führt Nitro eine Risikoanalyse mit dem Common Vulnerability Scoring System (CVSS v3 ) und bestimmen Sie die am besten geeignete Reaktion für Nitro-Kunden.

• Kritische Sicherheitslücken: Probleme in der Software, die nicht behoben werden, ein hohes Risiko und eine hohe Wahrscheinlichkeit für unbefugten Zugriff, Änderung oder Vernichtung von Informationen auf dem Computer eines Benutzers oder verbundenen Computern darstellen. Nitro stellt kritische Sicherheitslücken mit einem Produkt-Update für die aktuelle und vorherige Version von Nitro Pro und allen Cloud-Diensten in Übereinstimmung mit den Produkt-Updates und Sunset-Richtlinie vor.
• Unkritische Sicherheitslücken: Bei Problemen in der Software, die nicht behoben werden, handelt es sich um ein geringes bis mittleres Risiko und eine geringe Wahrscheinlichkeit für unbefugten Zugriff, Änderung oder Vernichtung von Informationen auf dem Computer eines Benutzers oder verbundenen Computern. Nitro wird nicht nach eigenem Ermessen kritische Sicherheitslücken mit einem Produkt-Update nur auf die aktuelle Version von Nitro Pro und alle Cloud-Dienste in Übereinstimmung mit den Produkt-Updates und Sunset-Richtlinie behoben.

(3 ) Nitro entwirft, implementiert und testet einen Fix für alle kritischen Sicherheitslücken und stellt den Kunden ein Produkt-Update zur Verfügung, normalerweise innerhalb von90 Tage.

(4 ) Nitro wird alle kritischen Sicherheitsschwachstellen, betroffene Versionen und relevante Details von Produktupdates, die die Probleme beheben, auf dieser Nitro-Sicherheitsupdate-Seite öffentlich offenlegen. Nitro erkennt einzelne Sicherheitsforscher nicht öffentlich für ihre Einreichungen an.

Außerhalb des Geltungsbereichs liegende Sicherheitslücken

Die folgenden Themen fallen nicht in den Geltungsbereich dieses Richtlinien- und Prämienprogramms:

• Angriffe, die physischen Zugriff auf das Gerät eines Benutzers erfordern.
• Fehlende Sicherheitsheader, die nicht direkt zu einer Schwachstelle führen.
• Fehlende Best Practices (wir benötigen den Nachweis einer Sicherheitslücke).
• Verwendung einer als angreifbar bekannten Bibliothek (ohne Nachweis der Ausnutzbarkeit).
• Social Engineering von Nitro-Mitarbeitern oder Auftragnehmern.
• Berichte über unsichere SSL/TLS-Verschlüsselungen (es sei denn, Sie haben einen funktionierenden Proof of Concept und nicht nur einen Bericht von einem Scanner).
• Inhalts-Spoofing und reine Textinjektions-Schwachstellen (wo Sie nur Text oder ein Bild in eine Seite einfügen können). Wir akzeptieren und beheben eine Spoofing-Sicherheitslücke, bei der ein Angreifer Bilder oder Rich Text (HTML) einschleusen kann, die jedoch nicht für ein Kopfgeld berechtigt sind.
• Nitro-Dienste, es sei denn, Sie können private IPs oder Nitro-Server erreichen.

Folgen der Einhaltung dieser Richtlinie

Wir werden keine zivilrechtlichen Schritte einleiten oder eine Beschwerde bei den Strafverfolgungsbehörden einreichen, wenn versehentlich und in gutem Glauben gegen diese Richtlinie verstoßen wird. Wir betrachten Aktivitäten, die in Übereinstimmung mit dieser Richtlinie durchgeführt werden, als „autorisiertes“ Verhalten im Sinne des Computerbetrugs- und Missbrauchsgesetzes. Soweit Ihre Aktivitäten nicht mit bestimmten Einschränkungen in unserer Richtlinie zur akzeptablen Nutzung vereinbar sind, verzichten wir auf diese Einschränkungen, um die Sicherheitsforschung gemäß dieser Richtlinie zu gestatten. Wir werden keinen DMCA-Anspruch gegen Sie wegen Umgehung der technischen Maßnahmen erheben, die wir zum Schutz der Anwendungen im Anwendungsbereich eingesetzt haben.

Wenn von einem Dritten rechtliche Schritte gegen Sie eingeleitet werden und Sie die Richtlinie zu Sicherheitslücken und Bug-Bounty von Nitro eingehalten haben, wird Nitro Schritte unternehmen, um bekannt zu machen, dass Ihre Maßnahmen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.

Bitte reichen Sie uns einen Bericht ein, bevor Sie sich an Verhaltensweisen beteiligen, die möglicherweise nicht mit dieser Richtlinie in Einklang stehen oder von dieser nicht angesprochen werden.

Das Kleingedruckte

Sie sind für die Zahlung aller Steuern im Zusammenhang mit Prämien verantwortlich. Wir können die Bedingungen dieses Programms jederzeit ändern oder dieses Programm beenden. Wir werden keine Änderungen, die wir an diesen Programmbedingungen vornehmen, rückwirkend anwenden. Berichte von Personen, deren Zahlung uns gesetzlich untersagt ist, sind nicht prämienberechtigt. Nitro-Mitarbeiter und deren Familienmitglieder haben keinen Anspruch auf Prämien.

Um die Einführung von Bug-Bounty-Programmen zu fördern und einheitliche Best Practices für die Sicherheit in der gesamten Branche zu fördern, behält sich Nitro keine Rechte an dieser Bug-Bounty-Richtlinie vor und es steht Ihnen daher frei, sie für Ihre eigenen Zwecke zu kopieren und zu ändern.

Für weitere Informationen kontaktieren Sie bitte das Nitro Security Team unter security@gonitro.com

Sicherheitsvorfall-Update

Im September30 ,2020 wurde Nitro von einem vereinzelten Sicherheitsvorfall mit eingeschränktem Zugriff auf Nitro-Datenbanken durch einen nicht autorisierten Dritten Kenntnis genommen.

Als Nitro von diesem Vorfall erfuhr, ergriff Nitro sofort Maßnahmen, um die Sicherheit der Nitro-Umgebung zu gewährleisten, und leitete mit Unterstützung führender Cybersicherheits- und Forensik-Experten eine Untersuchung ein. Die Untersuchung ist nun abgeschlossen und Nitro kann weitere Details mitteilen:

• Der Vorfall betraf den Zugriff auf spezielle Nitro-Datenbanken, die bestimmte Online-Dienste unterstützen und in erster Linie zur Speicherung von Informationen im Zusammenhang mit den kostenlosen Online-Produkten von Nitro verwendet wurden.
• Für den kostenlosen Online-Konvertierungsservice von Nitro müssen Benutzer kein Nitro-Konto erstellen oder Nitro-Kunde werden. Benutzer müssen lediglich eine E-Mail-Adresse angeben, an die die konvertierten Dateien geliefert werden.
• Es gab keine Auswirkungen auf Nitro Pro oder Nitro Analytics.
• Zu den offengelegten Benutzerdaten gehörten Benutzer-E-Mail-Adressen, vollständige Namen, hochsichere Hash- und Salted-Passwörter sowie Dokument-Metadaten in Bezug auf die Nitro-Onlinedienste. Ein sehr kleiner Teil der Informationen umfasste Firmennamen, Titel und IP-Adressen.
• Passwörter für Benutzer, die über Single Sign-On (SSO) auf unsere Cloud-Dienste zugreifen, waren nicht betroffen.
• Die Untersuchung ergab außerdem begrenzte Aktivitäten des nicht autorisierten Dritten an einem Standort von Legacy-Cloud-Diensten, die sich auf weniger als0 .0073 % der gespeicherten Daten an diesem Ort. Die Aktivität deutet darauf hin, dass sich der nicht autorisierte Dritte speziell darauf konzentriert hat, Daten im Zusammenhang mit Kryptowährung zu erhalten.

Als Nitro von diesem Vorfall erfuhr, führte Nitro für alle Benutzer eine erzwungene Passwortzurücksetzung durch, um die Kundenkonten weiter zu schützen. Darüber hinaus umfasst die allgemeine Anleitung zur Aufrechterhaltung einer guten Cyberhygiene:

• Regelmäßiges Ändern der Passwörter für Online-Konten, Verwendung eines separaten Passworts für das Online-Banking und Verwendung eines Passwort-Managers, um sich mehrere Passwörter zu merken.
• Versenden Sie niemals Passwörter für Online-Konten per E-Mail und bestätigen Sie, ob Online-Konten sicher sind, indem Sie https://haveibeenpwned.com/ besuchen.
• Aktivieren Sie nach Möglichkeit die Multi-Faktor-Authentifizierung für Online-Konten und stellen Sie sicher, dass auf jedem Gerät, das für den Zugriff auf Online-Konten verwendet wird, eine aktuelle Antivirensoftware installiert ist.

Seit dem Vorfall arbeitet das Nitro IT-Sicherheitsteam eng mit externen Cybersicherheitsexperten zusammen, um die Sicherheit aller Systeme zu erhöhen, einschließlich verbesserter Protokollierungs-, Erkennungs- und Warndienste in allen Regionen sowie einer verstärkten Datenüberwachung und Neubewertung aller Protokolle . Die IT-Umgebung bleibt sicher und Nitro hat seit dem Vorfall keine bösartigen Aktivitäten festgestellt.

Nitro nimmt die Sicherheit der Daten unserer Kunden ernst und wir sind hier, um unsere Kunden auf jede hilfreiche Weise zu unterstützen. Wir ermutigen jeden, der Fragen hat, sich an incident@gonitro.com zu wenden.