Letzte Aktualisierung:03/16/2023
Ursprünglich veröffentlicht:03/16/2023

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Letzte Aktualisierung:12/7/2022
Ursprünglich veröffentlicht:12/7/2022

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Letzte Aktualisierung:10/25/2021
Ursprünglich veröffentlicht:10/25/2021

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Letzte Aktualisierung:9/10/2021
Ursprünglich veröffentlicht:9/10/2021

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Letzte Aktualisierung:9/17/2020
Ursprünglich veröffentlicht:9/1/2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Letzte Aktualisierung:9/1/2020
Ursprünglich veröffentlicht:9/1/2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Letzte Aktualisierung:8/2/2020
Ursprünglich veröffentlicht:8/2/2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Letzte Aktualisierung:5/8/2020
Ursprünglich veröffentlicht:5/8/2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Letzte Aktualisierung:3/9/2020
Ursprünglich veröffentlicht:3/9/2020

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Lösung

Nitro empfiehlt Kunden, die im Nitro eCommerce Store gekauft haben, ihre Software auf die unten angegebene neueste Version zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Tarifen, denen ein Customer Success Manager zugewiesen ist, erhalten Informationen zu aktualisierten Versionen, die die Probleme beheben.

Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

Letzte Aktualisierung:1/9/2020
Ursprünglich veröffentlicht:10/31/2019

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Lösung

Nitro empfiehlt Kunden, die im Nitro eCommerce Store gekauft haben, ihre Software auf die unten angegebene neueste Version zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Tarifen, denen ein Customer Success Manager zugewiesen ist, erhalten Informationen zu aktualisierten Versionen, die die Probleme beheben.

Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

Letzte Aktualisierung:12/20/2019
Ursprünglich veröffentlicht:12/20/2019

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Lösung

Nitro empfiehlt Kunden, die im Nitro eCommerce Store gekauft haben, ihre Software auf die unten angegebene neueste Version zu aktualisieren. Kunden mit Team-Plänen können sich an ihren Nitro Account Manager wenden, um Zugang zu aktualisierten Installations- und Bereitstellungsanweisungen zu erhalten. Kunden mit Enterprise-Tarifen, denen ein Customer Success Manager zugewiesen ist, erhalten Informationen zu aktualisierten Versionen, die die Probleme beheben.

Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

Letzte Aktualisierung:10/18/2019
Ursprünglich veröffentlicht:10/18/2019

Update

Nitro arbeitet aktiv daran, mehrere kürzlich veröffentlichte potenzielle Sicherheitslücken zu beheben. Nachdem wir auf ihre Existenz aufmerksam gemacht wurden, haben wir die Richtigkeit der Behauptungen bewertet, den Schweregrad und die Wahrscheinlichkeit einer Ausnutzung bewertet und (basierend auf unseren bestehenden proaktiven Verfahren zur Schwachstellenanalyse und -behandlung) die Sicherheitslücken dann in unsere Warteschlange zur Behebung gestellt.

Wir nehmen diese Sicherheitslücken ernst und werden sie in einem kommenden Update beheben. Für weitere Informationen können Sie sich an security@gonitro.com wenden.

Letzte Aktualisierung:11/17/2017
Ursprünglich veröffentlicht:11/17/2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Lösung

Nitro empfiehlt privaten (individuellen) Benutzern, ihre Software auf die unten angegebene neueste Version zu aktualisieren. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf Sicherheitsupdates und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem eigenen Customer Success Manager erhalten Informationen zu aktualisierten Versionen, in denen die Probleme behoben werden.

Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

Letzte Aktualisierung:9/27/2017
Ursprünglich veröffentlicht:9/27/2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Lösung

Nitro empfiehlt privaten (individuellen) Benutzern, ihre Software auf die unten angegebene neueste Version zu aktualisieren. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf Sicherheitsupdates und Bereitstellungsanweisungen zu erhalten. Unternehmenskunden mit einem eigenen Customer Success Manager erhalten Informationen zu aktualisierten Versionen, in denen die Probleme behoben werden.

Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

Ursprünglich veröffentlicht:7/21/2017

Letzte Aktualisierung:8/25/2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Lösung

Nitro empfiehlt privaten (individuellen) Benutzern, ihre Software auf die neueste Version zu aktualisieren, die Korrekturen für diese Sicherheitslücken enthält. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf die neueste Version und Anweisungen zur Bereitstellung zu erhalten. Unternehmenskunden mit einem eigenen Customer Success Manager erhalten Informationen zu aktualisierten Versionen, in denen die Probleme behoben werden.

Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

Ursprünglich veröffentlicht:2/3/2017

Letzte Aktualisierung:8/25/2017

Update

Nitro hat eine neue Version von Nitro Pro veröffentlicht, die potenzielle Sicherheitslücken behebt.

Lösung

Nitro empfiehlt privaten (individuellen) Benutzern, ihre Software auf die neueste Version zu aktualisieren, die Korrekturen für diese Sicherheitslücken enthält. Geschäftskunden können sich an ihren Nitro Account Manager wenden, um Zugriff auf die neueste Version und Anweisungen zur Bereitstellung zu erhalten. Unternehmenskunden mit einem eigenen Customer Success Manager erhalten Informationen zu aktualisierten Versionen, in denen die Probleme behoben werden.

Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

Nitro Security Vulnerability& Bug Bounty Policy

Richtlinie

Nitro ist stolz darauf, einige historische Produktupdates für Sicherheitslücken benötigt zu haben. Die Sicherheit von Benutzerinformationen hat für uns bei Nitro oberste Priorität und ist ein zentraler Unternehmenswert. Wir freuen uns über den Beitrag externer Sicherheitsforscher und freuen uns darauf, sie für ihren unschätzbaren Beitrag zur Sicherheit aller Nitro-Benutzer auszuzeichnen.

Prämien

Nitro belohnt nach eigenem Ermessen akzeptierte Schwachstellenberichte. Unsere Mindestprämie ist eine Amazon-Geschenkkarte im Wert von $25 USD. Die Höhe der Prämien kann je nach Schweregrad der gemeldeten Sicherheitslücke und Qualität des Berichts variieren. Denken Sie daran, dass dies kein Wettbewerb oder Wettbewerb ist. Wir behalten uns das Recht vor, die Höhe oder sogar, ob eine Prämie gewährt werden sollte, festzulegen.

Anwendungen im Geltungsbereich

Nitro Pro-, Nitro Sign- und Nitro Admin-Anwendungen kommen für das Bounty-Programm in Frage. Darüber hinaus sind auch alle cloudbasierten Partnerplattformanwendungen berechtigt (z. B. Nitro File Actions). Wir können immer noch alles belohnen, was erhebliche Auswirkungen auf unsere gesamte Sicherheitslage hat. Deshalb empfehlen wir Ihnen, solche Sicherheitslücken über dieses Programm zu melden.

&Voraussetzungen für die Meldung von Sicherheitslücken

Alle Nitro-Sicherheitslücken sollten per E-Mail an das Nitro-Sicherheitsteam unter security@gonitro.com gemeldet werden. Um die Entdeckung und Meldung von Sicherheitslücken zu fördern und die Benutzersicherheit zu erhöhen, bitten wir Sie:

• Teilen Sie uns das Sicherheitsproblem ausführlich mit, einschließlich des Anwendungsnamens, der betroffenen Version/des betroffenen Builds, prägnanter Schritte zur Reproduktion der Sicherheitslücke, die leicht verständlich sind, Informationen über die tatsächlichen und potenziellen Auswirkungen der Sicherheitslücke und Einzelheiten darüber, wie sie ausgenutzt werden könnte;
• Fügen Sie eine Machbarkeitsstudie bei;
• Bitte respektieren Sie unsere bestehenden Anwendungen. Das Versenden von Formularen mithilfe automatisierter Schwachstellenscanner führt nicht zu einer Prämie, da diese ausdrücklich außerhalb des Geltungsbereichs liegen;
• Geben Sie uns eine angemessene Zeit, um auf das Problem zu antworten, bevor Sie Informationen darüber veröffentlichen;
• Greifen Sie nicht auf unsere Daten oder die Daten unserer Benutzer zu und ändern Sie sie nicht, ohne die ausdrückliche Genehmigung des Eigentümers. Interagieren Sie nur mit Ihren eigenen Konten oder Testkonten zu Sicherheitsforschungszwecken;
• Kontaktieren Sie uns sofort, falls Sie versehentlich auf Benutzerdaten stoßen. Sehen, ändern, speichern, speichern, übertragen oder greifen Sie nicht auf andere Weise auf die Daten zu und löschen Sie sofort alle lokalen Informationen, nachdem Sie Nitro die Sicherheitslücke gemeldet haben.
• Handeln Sie in gutem Glauben, um Datenschutzverletzungen, Zerstörung von Daten und Unterbrechungen oder Beeinträchtigungen unserer Dienste (einschließlich Denial-of-Service) zu vermeiden; und
• Ansonsten halten Sie sich an alle geltenden Gesetze.

Wir belohnen nur den ersten, der eine Sicherheitslücke gemeldet hat. Die öffentliche Offenlegung der Sicherheitslücke vor der Behebung kann eine ausstehende Belohnung stornieren. Wir behalten uns das Recht vor, Personen wegen respektlosen oder störenden Verhaltens vom Programm zu disqualifizieren.

Wir verhandeln nicht als Reaktion auf Zwang oder Drohungen (z. B. werden wir den Auszahlungsbetrag nicht aushandeln, wenn angedroht wird, die Sicherheitslücke zurückzuhalten oder die Sicherheitslücke oder andere offengelegte Daten der Öffentlichkeit zugänglich zu machen).

Prozess zur Sicherheitslücke:

(1) Nitro wird jede Schwachstelle, die gemäß den obigen Anweisungen gemeldet wurde, anerkennen und bewerten, in der Regel innerhalb weniger7 Tage.

(2) Wenn eine Sicherheitslücke bestätigt wird, führt Nitro eine Risikoanalyse mithilfe des Common Vulnerability Scoring System (CVSS v3) durch und ermittelt die für Nitro-Kunden am besten geeignete Reaktion.

• Kritische Sicherheitslücken: Probleme in der Software, die, wenn sie nicht behoben werden, ein hohes Risiko und eine hohe Wahrscheinlichkeit des unbefugten Zugriffs, der Änderung oder Zerstörung von Informationen auf dem Computer eines Benutzers oder den verbundenen Computern darstellen. Nitro wird kritische Sicherheitslücken mit einem Produktupdate für die aktuelle und vorherige Version von Nitro Pro und alle Cloud-Dienste gemäß der &Sunset Policy für Produktupdates beheben.
• Nichtkritische Sicherheitslücken: Probleme in der Software, die, wenn sie nicht behoben werden, ein geringes bis mäßiges Risiko und die Wahrscheinlichkeit des unbefugten Zugriffs, der Änderung oder Zerstörung von Informationen auf dem Computer eines Benutzers oder den angeschlossenen Computern darstellen. Nitro wird nach eigenem Ermessen nicht kritische Sicherheitslücken ausschließlich mit einem Produktupdate auf die aktuelle Version von Nitro Pro und allen Cloud-Diensten gemäß der &Sunset Policy für Produktupdates beheben.

(3) Nitro wird eine Lösung für alle kritischen Sicherheitslücken entwerfen, implementieren,& testen und Kunden in der Regel innerhalb weniger90 Tage ein Produktupdate zur Verfügung stellen.

(4) Nitro wird alle kritischen Sicherheitslücken, betroffene Versionen und relevante Details zu Produktupdates, die die Probleme beheben, auf dieser Nitro-Seite mit Sicherheitsupdates veröffentlichen. Nitro würdigt einzelne Sicherheitsforscher nicht öffentlich für ihre Beiträge.

Sicherheitslücken, die außerhalb des Geltungsbereichs liegen

Die folgenden Probleme fallen nicht in den Geltungsbereich dieses& Policy-Prämienprogramms:

• Angriffe, die physischen Zugriff auf das Gerät eines Benutzers erfordern.
• Fehlende Sicherheitsheader, die nicht direkt zu einer Sicherheitslücke führen.
• Fehlende bewährte Methoden (wir benötigen den Nachweis einer Sicherheitslücke).
• Verwendung einer bekanntermaßen anfälligen Bibliothek (ohne Hinweise auf eine Ausnutzbarkeit).
• Social Engineering von Nitro-Mitarbeitern oder Auftragnehmern.
• Berichte über unsichere SSL-/TLS-Verschlüsselungen (es sei denn, Sie haben einen funktionierenden Machbarkeitsnachweis und nicht nur einen Bericht von einem Scanner).
• Sicherheitslücken bei Inhalts-Spoofing und reiner Textinjektion (wo Sie nur Text oder ein Bild in eine Seite einfügen können). Wir akzeptieren und beheben eine Spoofing-Schwachstelle, bei der Angreifer Bilder oder Rich Text (HTML) injizieren können, aber dafür gibt es kein Bounty.
• Nitro-Dienste, sofern Sie nicht in der Lage sind, private IPs oder Nitro-Server zu erreichen.

Konsequenzen der Einhaltung dieser Richtlinie

Wir werden keine Zivilklage einleiten oder eine Beschwerde bei den Strafverfolgungsbehörden wegen versehentlicher, gutgläubiger Verstöße gegen diese Richtlinie einreichen. Wir betrachten Aktivitäten, die im Einklang mit dieser Richtlinie durchgeführt werden, als „autorisiertes“ Verhalten gemäß dem Gesetz über Computerbetrug und -missbrauch. In dem Maße, in dem Ihre Aktivitäten mit bestimmten Einschränkungen in unserer Nutzungsrichtlinie unvereinbar sind, verzichten wir auf diese Einschränkungen für den begrenzten Zweck, Sicherheitsforschung im Rahmen dieser Richtlinie zuzulassen. Wir werden keine DMCA-Klage gegen Sie erheben, weil Sie die technischen Maßnahmen, die wir zum Schutz der Anwendungen getroffen haben, umgangen haben.

Wenn von einem Dritten rechtliche Schritte gegen Sie eingeleitet werden und Sie die Security Vulnerability& Bug Bounty Policy von Nitro eingehalten haben, wird Nitro Maßnahmen ergreifen, um bekannt zu geben, dass Ihre Maßnahmen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.

Bitte reichen Sie uns einen Bericht ein, bevor Sie sich an einem Verhalten beteiligen, das möglicherweise nicht mit dieser Richtlinie vereinbar ist oder in dieser Richtlinie nicht behandelt wird.

Das Kleingedruckte

Sie sind für die Zahlung aller Steuern im Zusammenhang mit Prämien verantwortlich. Wir können die Bedingungen dieses Programms jederzeit ändern oder dieses Programm beenden. Wir werden keine Änderungen, die wir an diesen Programmbedingungen vornehmen, rückwirkend anwenden. Berichte von Personen, deren Zahlung uns gesetzlich untersagt ist, kommen nicht für Prämien in Frage. Nitro-Mitarbeiter und ihre Familienmitglieder haben keinen Anspruch auf Prämien.

Um die Einführung von Bug-Bounty-Programmen zu fördern und branchenweit einheitliche bewährte Sicherheitsverfahren zu fördern, behält sich Nitro keine Rechte an dieser Bug-Bounty-Richtlinie vor, sodass Sie sie für Ihre eigenen Zwecke kopieren und ändern können.

Für weitere Informationen wenden Sie sich bitte an das Nitro-Sicherheitsteam unter security@gonitro.com

Update zum Sicherheitsvorfall

Im September30 wurde Nitro auf einen vereinzelten Sicherheitsvorfall aufmerksam, bei dem ein unbefugter Dritter den eingeschränkten Zugriff auf Nitro-Datenbanken beinhaltete.2020

Als Nitro von diesem Vorfall erfuhr, ergriff Nitro sofort Maßnahmen, um die Sicherheit der Nitro-Umgebung zu gewährleisten, und leitete mit Unterstützung führender Cybersicherheits- und Forensikexperten eine Untersuchung ein. Die Untersuchung ist jetzt abgeschlossen und Nitro kann Ihnen weitere Informationen geben:

• Der Vorfall betraf den Zugriff auf bestimmte Nitro-Datenbanken, die bestimmte Online-Dienste unterstützen und hauptsächlich für die Speicherung von Informationen im Zusammenhang mit den kostenlosen Online-Produkten von Nitro verwendet wurden.
• Der kostenlose Online-Konvertierungsservice von Nitro erfordert nicht, dass Benutzer ein Nitro-Konto erstellen oder Nitro-Kunde werden. Die Benutzer müssen lediglich eine E-Mail-Adresse angeben, an die konvertierte Dateien geliefert werden.
• Es gab keine Auswirkungen auf Nitro Pro oder Nitro Analytics.
• Zu den offengelegten Benutzerdaten gehörten Benutzer-E-Mail-Adressen, vollständige Namen, hochsichere Hash-Passwörter und gesalzene Passwörter sowie Metadaten von Dokumenten in Bezug auf die Nitro-Onlinedienste. Ein sehr kleiner Teil der Informationen beinhaltete Firmennamen, Titel und IP-Adressen.
• Passwörter für Benutzer, die über Single Sign-On (SSO) auf unsere Cloud-Dienste zugreifen, waren nicht betroffen.
• Die Untersuchung ergab außerdem begrenzte Aktivitäten des nicht autorisierten Dritten an einem Standort für veraltete Cloud-Dienste, die sich auf weniger als auswirken0. 0073% der gespeicherten Daten an diesem Ort. Die Aktivität deutet darauf hin, dass sich der unbefugte Dritte speziell auf die Beschaffung von Daten im Zusammenhang mit Kryptowährungen konzentriert hat.

Als Nitro von diesem Vorfall erfuhr, führte Nitro ein erzwungenes Zurücksetzen des Passworts für alle Benutzer durch, um die Kundenkonten weiter zu sichern. Darüber hinaus beinhalten die allgemeinen Leitlinien zur Aufrechterhaltung einer guten Cyberhygiene:

• Regelmäßige Änderung der Passwörter von Online-Konten, Verwendung eines separaten Passworts für Online-Banking und Verwendung eines Passwort-Managers, um sich mehrere Passwörter zu merken.
• Senden Sie niemals Passwörter für Online-Konten per E-Mail und überprüfen Sie, ob Online-Konten sicher sind, indem Sie https://haveibeenpwned.com/ besuchen.
• Wenn möglich, aktivieren Sie die Multi-Faktor-Authentifizierung für Online-Konten und stellen Sie sicher, dass auf jedem Gerät, das für den Zugriff auf Online-Konten verwendet wird, aktuelle Antivirensoftware installiert ist.

Seit dem Vorfall arbeitet das Nitro IT-Sicherheitsteam eng mit externen Cybersicherheitsexperten zusammen, um die Sicherheit aller Systeme zu erhöhen, einschließlich verbesserter Protokollierungs-, Erkennungs- und Warndienste in allen Regionen sowie einer verstärkten Datenüberwachung und Neubewertung aller Protokolle. Die IT-Umgebung bleibt sicher und Nitro hat seit dem Vorfall keine böswilligen Aktivitäten verzeichnet.

Nitro nimmt die Sicherheit der Daten unserer Kunden ernst, und wir sind hier, um unsere Kunden auf jede Weise zu unterstützen, die hilfreich sein kann. Wir empfehlen jedem, der Fragen hat, sich an incident@gonitro.com zu wenden.