Ultimo aggiornamento:9 /17 /2020
Pubblicato originariamente:9 /1 /2020

Aggiornare

Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

Ultimo aggiornamento:9 /1 /2020
Pubblicato originariamente:9 /1 /2020

Aggiornare

Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

Ultimo aggiornamento:8 /2 /2020
Pubblicato originariamente:8 /2 /2020

Aggiornare

Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

Ultimo aggiornamento:5 /8 /2020
Pubblicato originariamente:5 /8 /2020

Aggiornare

Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

Ultimo aggiornamento:3 /9 /2020
Pubblicato originariamente:3 /9 /2020

Aggiornare

Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

Soluzione

Nitro consiglia ai clienti che hanno acquistato tramite il negozio di eCommerce Nitro di aggiornare il proprio software all'ultima versione di seguito. I clienti con piani Team possono contattare il proprio Account Manager Nitro per l'accesso a programmi di installazione aggiornati e istruzioni di implementazione. I clienti con piani Enterprise a cui è stato assegnato un Customer Success Manager riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

Per ulteriori informazioni, contattare il team di sicurezza Nitro all'indirizzo

Ultimo aggiornamento:1 /9 /2020
Pubblicato originariamente:10 /31 /2019

Aggiornare

Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

Soluzione

Nitro consiglia ai clienti che hanno acquistato tramite il negozio di eCommerce Nitro di aggiornare il proprio software all'ultima versione di seguito. I clienti con piani Team possono contattare il proprio Account Manager Nitro per l'accesso a programmi di installazione aggiornati e istruzioni di implementazione. I clienti con piani Enterprise a cui è stato assegnato un Customer Success Manager riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

Per ulteriori informazioni, contattare il team di sicurezza Nitro all'indirizzo

Ultimo aggiornamento:12 /20 /2019
Pubblicato originariamente:12 /20 /2019

Aggiornare

Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

Soluzione

Nitro consiglia ai clienti che hanno acquistato tramite il negozio di eCommerce Nitro di aggiornare il proprio software all'ultima versione di seguito. I clienti con piani Team possono contattare il proprio Account Manager Nitro per l'accesso a programmi di installazione aggiornati e istruzioni di implementazione. I clienti con piani Enterprise a cui è stato assegnato un Customer Success Manager riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

Per ulteriori informazioni, contattare il team di sicurezza Nitro all'indirizzo

Ultimo aggiornamento:10 /18 /2019
Pubblicato originariamente:10 /18 /2019

Aggiornare

Nitro sta lavorando attivamente per affrontare diverse potenziali vulnerabilità pubblicate di recente. Dopo essere stati a conoscenza della loro esistenza, abbiamo valutato l'accuratezza delle affermazioni, valutato la gravità e la probabilità di qualsiasi sfruttamento e (in base alla nostra analisi proattiva delle vulnerabilità e alle procedure di gestione esistenti) abbiamo quindi inserito le vulnerabilità nella nostra coda di riparazione.

Stiamo prendendo sul serio queste vulnerabilità e le affronteremo in un prossimo aggiornamento. Per ulteriori informazioni, è possibile contattare security@gonitro.com.

Ultimo aggiornamento:11 /17 /2017
Pubblicato originariamente:11 /17 /2017

Aggiornare

Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

Soluzione

Nitro consiglia agli utenti personali (individuali) di aggiornare il proprio software all'ultima versione di seguito. I clienti aziendali possono contattare il proprio Account Manager Nitro per accedere a eventuali aggiornamenti di sicurezza e istruzioni di distribuzione. I clienti aziendali con un Customer Success Manager dedicato riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

Per ulteriori informazioni, contattare il team di sicurezza Nitro all'indirizzo

Ultimo aggiornamento:9 /27 /2017
Pubblicato originariamente:9 /27 /2017

Aggiornare

Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

Soluzione

Nitro consiglia agli utenti personali (individuali) di aggiornare il proprio software all'ultima versione di seguito. I clienti aziendali possono contattare il proprio Account Manager Nitro per accedere a eventuali aggiornamenti di sicurezza e istruzioni di distribuzione. I clienti aziendali con un Customer Success Manager dedicato riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

Per ulteriori informazioni, contattare il team di sicurezza Nitro all'indirizzo

Pubblicato originariamente:7 /21 /2017

Ultimo aggiornamento:8 /25 /2017

Aggiornare

Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

Soluzione

Nitro consiglia agli utenti personali (individuali) di aggiornare il proprio software alla versione più recente, che include correzioni per queste vulnerabilità. I clienti aziendali possono contattare il proprio Account Manager Nitro per accedere alla versione più recente e alle istruzioni di distribuzione. I clienti aziendali con un Customer Success Manager dedicato riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

Per ulteriori informazioni, contattare il team di sicurezza Nitro all'indirizzo

Pubblicato originariamente:2 /3 /2017

Ultimo aggiornamento:8 /25 /2017

Aggiornare

Nitro ha rilasciato una nuova versione di Nitro Pro, che risolve potenziali vulnerabilità di sicurezza.

Soluzione

Nitro consiglia agli utenti personali (individuali) di aggiornare il proprio software alla versione più recente, che include correzioni per queste vulnerabilità. I clienti aziendali possono contattare il proprio Account Manager Nitro per accedere alla versione più recente e alle istruzioni di distribuzione. I clienti aziendali con un Customer Success Manager dedicato riceveranno i dettagli delle versioni aggiornate che risolvono i problemi.

Per ulteriori informazioni, contattare il team di sicurezza Nitro all'indirizzo

Vulnerabilità di sicurezza di Nitro e politica sui bug bounty

Politica

Nitro è orgoglioso di aver richiesto pochi aggiornamenti storici del prodotto per le vulnerabilità della sicurezza. Mantenere le informazioni degli utenti al sicuro è una priorità assoluta e un valore aziendale fondamentale per noi di Nitro. Accogliamo con favore il contributo di ricercatori esterni sulla sicurezza e non vediamo l'ora di premiarli per il loro inestimabile contributo alla sicurezza di tutti gli utenti Nitro.

Premi

Nitro fornisce ricompense per i rapporti di vulnerabilità accettati a sua discrezione. La nostra ricompensa minima è di $25 Buono regalo Amazon USD. Gli importi dei premi possono variare a seconda della gravità della vulnerabilità segnalata e della qualità della segnalazione. Tieni presente che questo non è un concorso o una competizione. Ci riserviamo il diritto di determinare l'importo o anche se debba essere concesso un premio.

Applicazioni in ambito

Le applicazioni Nitro Pro, Nitro Sign e Nitro Admin sono idonee per il programma bounty. Inoltre, sono idonee anche tutte le applicazioni della piattaforma partner basata su cloud (ad es. Nitro File Actions). Potremmo comunque premiare qualsiasi cosa con un impatto significativo su tutta la nostra posizione di sicurezza, quindi ti invitiamo a segnalare tali vulnerabilità tramite questo programma.

Segnalazione e idoneità sulla vulnerabilità della sicurezza

Tutte le vulnerabilità di sicurezza di Nitro devono essere segnalate via e-mail al team di sicurezza di Nitro all'indirizzo . Per promuovere la scoperta e la segnalazione di vulnerabilità e aumentare la sicurezza degli utenti, ti chiediamo di:

• Condividi con noi il problema di sicurezza in dettaglio, incluso il nome dell'applicazione, la versione/build interessata, i passaggi concisi per riprodurre la vulnerabilità facilmente comprensibili, le informazioni sull'impatto effettivo e potenziale della vulnerabilità e i dettagli su come potrebbe essere sfruttato;
• Includere un file di prova;
• Si prega di essere rispettosi delle nostre applicazioni esistenti. L'invio di moduli di spam tramite scanner di vulnerabilità automatizzati non comporterà alcuna ricompensa poiché questi sono esplicitamente fuori portata;
• Dacci un tempo ragionevole per rispondere al problema prima di rendere pubbliche le informazioni al riguardo;
• Non accedere o modificare i nostri dati oi dati dei nostri utenti, senza l'esplicito consenso del titolare. Interagisci solo con i tuoi account o account di prova per scopi di ricerca sulla sicurezza;
• Contattaci immediatamente se incontri inavvertitamente i dati dell'utente. Non visualizzare, alterare, salvare, archiviare, trasferire o accedere in altro modo ai dati ed eliminare immediatamente qualsiasi informazione locale dopo aver segnalato la vulnerabilità a Nitro;
• Agire in buona fede per evitare violazioni della privacy, distruzione di dati e interruzione o degrado dei nostri servizi (inclusa la negazione del servizio); e
• In caso contrario, rispettare tutte le leggi applicabili.

Ricompensiamo solo il primo reporter di una vulnerabilità. La divulgazione pubblica della vulnerabilità prima della risoluzione può annullare una ricompensa in sospeso. Ci riserviamo il diritto di squalificare le persone dal programma per comportamenti irrispettosi o distruttivi.

Non negozieremo in risposta a coercizione o minacce (ad esempio, non negozieremo l'importo del pagamento sotto la minaccia di trattenere la vulnerabilità o la minaccia di divulgare la vulnerabilità o qualsiasi dato esposto al pubblico).

Processo di vulnerabilità della sicurezza:

(1 ) Nitro riconoscerà e valuterà qualsiasi vulnerabilità segnalata secondo le istruzioni di cui sopra, in genere entro7 giorni.

(2 ) Quando viene confermata una vulnerabilità, Nitro condurrà un'analisi dei rischi utilizzando il Common Vulnerability Scoring System (CVSS v3 ) e determinare la risposta più appropriata per i clienti Nitro.

• Vulnerabilità critiche di sicurezza: Problemi all'interno del software che, se non risolti, comportano un alto rischio e probabilità di accesso non autorizzato, alterazione o distruzione delle informazioni sul computer di un utente o sui computer collegati. Nitro risolverà le vulnerabilità di sicurezza critiche con un aggiornamento del prodotto alla versione attuale e precedente di Nitro Pro e a tutti i servizi cloud, secondo il .
• Vulnerabilità di sicurezza non critiche: Problemi all'interno del software che, se non risolti, comportano un rischio e una probabilità da bassi a moderati di accesso non autorizzato, alterazione o distruzione delle informazioni sul computer di un utente o sui computer collegati. Nitro, a sua discrezione, risolverà le vulnerabilità di sicurezza non critiche con un aggiornamento del prodotto solo alla versione corrente di Nitro Pro e tutti i servizi cloud in base al .

(3 ) Nitro progetterà, implementerà e testerà una correzione per tutte le vulnerabilità critiche di sicurezza e fornirà un aggiornamento del prodotto ai clienti, in genere entro90 giorni.

(4 ) Nitro divulgherà pubblicamente tutte le vulnerabilità critiche per la sicurezza, le versioni interessate e i dettagli rilevanti degli aggiornamenti del prodotto che risolvono i problemi, in questa pagina degli aggiornamenti della sicurezza di Nitro. Nitro non riconosce pubblicamente i singoli ricercatori di sicurezza per i loro contributi.

Vulnerabilità di sicurezza fuori ambito

I seguenti problemi esulano dall'ambito di questa politica e del programma a premi:

• Attacchi che richiedono l'accesso fisico al dispositivo di un utente.
• Intestazioni di sicurezza mancanti che non portano direttamente a una vulnerabilità.
• Best practice mancanti (richiediamo prove di una vulnerabilità di sicurezza).
• Utilizzo di una libreria nota vulnerabile (senza prove di sfruttabilità).
• Ingegneria sociale di dipendenti o appaltatori Nitro.
• Rapporti di cifrari SSL/TLS non sicuri (a meno che tu non disponga di una prova di concetto funzionante e non solo di un rapporto da uno scanner).
• Vulnerabilità di spoofing del contenuto e iniezione di puro testo (dove è possibile inserire solo testo o un'immagine in una pagina). Accetteremo e risolveremo una vulnerabilità di spoofing in cui l'attaccante può inserire immagini o rich text (HTML), ma non è idoneo per una taglia.
• Servizi Nitro a meno che tu non sia in grado di raggiungere IP privati o server Nitro.

Conseguenze del rispetto di questa politica

Non perseguiremo azioni civili né avvieremo un reclamo alle forze dell'ordine per violazioni accidentali e in buona fede di questa politica. Riteniamo che le attività condotte coerenti con questa politica costituiscano una condotta "autorizzata" ai sensi del Computer Fraud and Abuse Act. Nella misura in cui le tue attività non sono coerenti con determinate restrizioni nella nostra politica di utilizzo accettabile, rinunciamo a tali restrizioni allo scopo limitato di consentire la ricerca sulla sicurezza ai sensi di questa politica. Non presenteremo un reclamo DMCA contro di te per eludere le misure tecnologiche che abbiamo utilizzato per proteggere le applicazioni in oggetto.

Se un'azione legale viene avviata da una terza parte contro di te e hai rispettato la politica sulla vulnerabilità della sicurezza e sui bug bounty di Nitro, Nitro adotterà misure per far sapere che le tue azioni sono state condotte in conformità con questa politica.

Si prega di inviare una segnalazione prima di intraprendere una condotta che potrebbe essere incoerente o non trattata da questa politica.

La stampa fine

Sei responsabile del pagamento di eventuali tasse associate ai premi. Possiamo modificare i termini di questo programma o terminare questo programma in qualsiasi momento. Non applicheremo retroattivamente le modifiche apportate a questi termini del programma. Le segnalazioni di persone a cui è vietato per legge pagare non sono idonee per i premi. I dipendenti Nitro e i loro familiari non hanno diritto ad alcun premio.

Al fine di incoraggiare l'adozione di programmi di bug bounty e promuovere le migliori pratiche di sicurezza uniformi in tutto il settore, Nitro non si riserva alcun diritto in questa politica di bug bounty e quindi sei libero di copiarla e modificarla per i tuoi scopi.

Per ulteriori informazioni, contattare il team di sicurezza Nitro all'indirizzo

Aggiornamento sugli incidenti di sicurezza

A settembre30 ,2020 , Nitro è venuta a conoscenza di un incidente di sicurezza isolato che ha comportato un accesso limitato ai database Nitro da parte di una terza parte non autorizzata.

Dopo aver appreso di questo incidente, Nitro ha preso provvedimenti immediati per garantire che l'ambiente Nitro fosse sicuro e ha avviato un'indagine con il supporto dei principali esperti di sicurezza informatica e forense. L'indagine è ora completa e Nitro può fornire ulteriori dettagli:

• L'incidente ha comportato l'accesso a specifici database Nitro, che supportano determinati servizi online e sono stati utilizzati principalmente per l'archiviazione di informazioni relative ai prodotti online gratuiti di Nitro.
• Il servizio di conversione online gratuito di Nitro non richiede agli utenti di creare un account Nitro o di diventare clienti Nitro. Gli utenti devono semplicemente fornire un indirizzo e-mail a cui vengono consegnati i file convertiti.
• Non c'è stato alcun impatto su Nitro Pro o Nitro Analytics.
• I dati utente esposti includevano indirizzi e-mail degli utenti, nomi completi, password con hash e salt altamente sicure, nonché metadati dei documenti in relazione ai servizi online Nitro. Una parte molto piccola delle informazioni includeva nomi di società, titoli e indirizzi IP.
• Le password non sono state interessate dagli utenti che accedono ai nostri servizi cloud tramite Single Sign-On (SSO).
• L'indagine ha inoltre identificato un'attività limitata da parte di terzi non autorizzati in una posizione di servizi cloud legacy, con un impatto inferiore a0 .0073 % di dati archiviati in questa posizione. L'attività suggerisce che la terza parte non autorizzata fosse specificamente focalizzata sull'ottenimento di dati relativi alla criptovaluta.

Dopo aver appreso di questo incidente, Nitro ha effettuato una reimpostazione forzata della password per tutti gli utenti per proteggere ulteriormente gli account dei clienti. Oltre a ciò, le linee guida generali per mantenere una buona igiene informatica includono:

• Modificare regolarmente le password degli account online, utilizzare una password separata per l'online banking e utilizzare un gestore di password per ricordare più password.
• Non inviare mai tramite e-mail le password per gli account online e confermare se gli account online sono sicuri visitando .
• Abilitare l'autenticazione a più fattori per gli account online ove possibile e garantire l'installazione di un software antivirus aggiornato su qualsiasi dispositivo utilizzato per accedere agli account online.

Dall'incidente, il team di sicurezza IT di Nitro ha lavorato a stretto contatto con esperti esterni di sicurezza informatica per rafforzare la sicurezza di tutti i sistemi, inclusi servizi avanzati di registrazione, rilevamento e avviso in tutte le regioni, nonché un maggiore monitoraggio dei dati e la rivalutazione di tutti i protocolli . L'ambiente IT rimane sicuro e Nitro non ha rilevato alcuna attività dannosa dall'incidente.

Nitro prende sul serio la sicurezza e la protezione dei dati dei nostri clienti e siamo qui per supportare i nostri clienti in qualsiasi modo che possa essere utile. Incoraggiamo chiunque abbia domande a contattare.