Laatst bijgewerkt: 10 / 25 / 2021
Oorspronkelijk gepubliceerd: 10 / 25 / 2021

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

Laatst bijgewerkt: 9 / 10 / 2021
Oorspronkelijk gepubliceerd: 9 / 10 / 2021

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

Laatst bijgewerkt: 9 / 17 / 2020
Oorspronkelijk gepubliceerd: 9 / 1 / 2020

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

Laatst bijgewerkt: 9 / 1 / 2020
Oorspronkelijk gepubliceerd: 9 / 1 / 2020

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

Laatst bijgewerkt: 8 / 2 / 2020
Oorspronkelijk gepubliceerd: 8 / 2 / 2020

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

Laatst bijgewerkt: 5 / 8 / 2020
Oorspronkelijk gepubliceerd: 5 / 8 / 2020

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

Laatst bijgewerkt: 3 / 9 / 2020
Oorspronkelijk gepubliceerd: 3 / 9 / 2020

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

Oplossing

Nitro raadt klanten die via de Nitro eCommerce-winkel hebben gekocht aan om hun software bij te werken naar de nieuwste versie hieronder. Klanten met een Team-abonnement kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot bijgewerkte installatieprogramma's en implementatie-instructies. Klanten met Enterprise-abonnementen die een toegewezen Customer Success Manager hebben, ontvangen details van bijgewerkte releases die de problemen oplossen.

Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com

Laatst bijgewerkt: 1 / 9 / 2020
Oorspronkelijk gepubliceerd: 10 / 31 / 2019

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

Oplossing

Nitro raadt klanten die via de Nitro eCommerce-winkel hebben gekocht aan om hun software bij te werken naar de nieuwste versie hieronder. Klanten met een Team-abonnement kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot bijgewerkte installatieprogramma's en implementatie-instructies. Klanten met Enterprise-abonnementen die een toegewezen Customer Success Manager hebben, ontvangen details van bijgewerkte releases die de problemen oplossen.

Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com

Laatst bijgewerkt: 12 / 20 / 2019
Oorspronkelijk gepubliceerd: 12 / 20 / 2019

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

Oplossing

Nitro raadt klanten die via de Nitro eCommerce-winkel hebben gekocht aan om hun software bij te werken naar de nieuwste versie hieronder. Klanten met een Team-abonnement kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot bijgewerkte installatieprogramma's en implementatie-instructies. Klanten met Enterprise-abonnementen die een toegewezen Customer Success Manager hebben, ontvangen details van bijgewerkte releases die de problemen oplossen.

Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com

Laatst bijgewerkt: 10 / 18 / 2019
Oorspronkelijk gepubliceerd: 10 / 18 / 2019

Update

Nitro werkt actief aan het aanpakken van verschillende recent gepubliceerde potentiële kwetsbaarheden. Nadat we op de hoogte waren gesteld van hun bestaan, hebben we de juistheid van de claims geëvalueerd, de ernst en waarschijnlijkheid van misbruik beoordeeld en (op basis van onze bestaande proactieve kwetsbaarheidsanalyse en afhandelingsprocedures) vervolgens de kwetsbaarheden in onze herstelwachtrij geplaatst.

We nemen deze kwetsbaarheden serieus en zullen ze in een komende update aanpakken. Voor aanvullende informatie kunt u contact opnemen met security@gonitro.com.

Laatst bijgewerkt: 11 / 17 / 2017
Oorspronkelijk gepubliceerd: 11 / 17 / 2017

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

Oplossing

Nitro raadt persoonlijke (individuele) gebruikers aan om hun software bij te werken naar de nieuwste versie hieronder. Zakelijke klanten kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot beveiligingsupdates en implementatie-instructies. Enterprise-klanten met een toegewijde Customer Success Manager ontvangen details van bijgewerkte releases die de problemen oplossen.

Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com

Laatst bijgewerkt: 9 / 27 / 2017
Oorspronkelijk gepubliceerd: 9 / 27 / 2017

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

Oplossing

Nitro raadt persoonlijke (individuele) gebruikers aan om hun software bij te werken naar de nieuwste versie hieronder. Zakelijke klanten kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot beveiligingsupdates en implementatie-instructies. Enterprise-klanten met een toegewijde Customer Success Manager ontvangen details van bijgewerkte releases die de problemen oplossen.

Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com

Oorspronkelijk gepubliceerd: 7 / 21 / 2017

Laatst bijgewerkt: 8 / 25 / 2017

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

Oplossing

Nitro raadt persoonlijke (individuele) gebruikers aan om hun software bij te werken naar de nieuwste versie, die oplossingen voor deze kwetsbaarheden bevat. Zakelijke klanten kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot de nieuwste versie en implementatie-instructies. Enterprise-klanten met een toegewijde Customer Success Manager ontvangen details van bijgewerkte releases die de problemen oplossen.

Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com

Oorspronkelijk gepubliceerd: 2 / 3 / 2017

Laatst bijgewerkt: 8 / 25 / 2017

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

Oplossing

Nitro raadt persoonlijke (individuele) gebruikers aan om hun software bij te werken naar de nieuwste versie, die oplossingen voor deze kwetsbaarheden bevat. Zakelijke klanten kunnen contact opnemen met hun Nitro-accountmanager voor toegang tot de nieuwste versie en implementatie-instructies. Enterprise-klanten met een toegewijde Customer Success Manager ontvangen details van bijgewerkte releases die de problemen oplossen.

Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com

Nitro Security Kwetsbaarheid & Bug Bounty-beleid

Politiek

Nitro is er trots op dat er maar weinig historische productupdates nodig waren voor beveiligingsproblemen. Het veilig houden van gebruikersinformatie is een topprioriteit en een kernwaarde van het bedrijf voor ons bij Nitro. We verwelkomen de bijdrage van externe beveiligingsonderzoekers en kijken ernaar uit hen te belonen voor hun onschatbare bijdrage aan de beveiliging van alle Nitro-gebruikers.

Beloningen

Nitro biedt naar eigen goeddunken beloningen voor geaccepteerde kwetsbaarheidsrapporten. Onze minimale beloning is een Amazon-cadeaubon van $ 25 USD. Beloningen kunnen variëren, afhankelijk van de ernst van de gemelde kwetsbaarheid en de kwaliteit van het rapport. Houd er rekening mee dat dit geen wedstrijd of wedstrijd is. We behouden ons het recht voor om het bedrag te bepalen of zelfs of een beloning moet worden toegekend.

Toepassingen binnen bereik

Nitro Pro-, Nitro Sign- en Nitro Admin-applicaties komen in aanmerking voor het premieprogramma. Daarnaast komen ook alle cloudgebaseerde partnerplatformapplicaties in aanmerking (bijv. Nitro File Actions). We kunnen nog steeds alles belonen met een aanzienlijke impact op onze hele beveiligingshouding, dus we moedigen u aan om dergelijke kwetsbaarheden via dit programma te melden.

Rapportage en geschiktheid van beveiligingsproblemen

Alle kwetsbaarheden in de Nitro-beveiliging moeten via e-mail worden gemeld aan het Nitro-beveiligingsteam op security@gonitro.com . Om de ontdekking en rapportage van kwetsbaarheden te bevorderen en de gebruikersveiligheid te vergroten, vragen we u:

• Deel het beveiligingsprobleem in detail met ons, inclusief de naam van de applicatie, de getroffen versie/build, beknopte stappen om de kwetsbaarheid te reproduceren die gemakkelijk te begrijpen zijn, informatie over de daadwerkelijke en potentiële impact van de kwetsbaarheid en details over hoe deze kan worden uitgebuit;
• Voeg een proof-of-concept-bestand toe;
• Respecteer onze bestaande applicaties. Het spammen van formulieren via geautomatiseerde kwetsbaarheidsscanners zal niet resulteren in een premie, aangezien deze expliciet buiten het bereik vallen;
• Geef ons een redelijke tijd om op het probleem te reageren voordat we er informatie over openbaar maken;
• Geen toegang tot of wijziging van onze gegevens of de gegevens van onze gebruikers, zonder uitdrukkelijke toestemming van de eigenaar. Alleen interactie met uw eigen accounts of testaccounts voor veiligheidsonderzoeksdoeleinden;
• Neem direct contact met ons op als u onverhoopt toch gebruikersgegevens tegenkomt. De gegevens niet bekijken, wijzigen, opslaan, opslaan, overdragen of anderszins openen, en lokale informatie onmiddellijk wissen na melding van de kwetsbaarheid aan Nitro;
• Te goeder trouw handelen om privacyschendingen, vernietiging van gegevens en onderbreking of degradatie van onze diensten (inclusief denial of service) te voorkomen; en
• Anders voldoen aan alle toepasselijke wetten.

We belonen alleen de eerste melder van een kwetsbaarheid. Openbare bekendmaking van het beveiligingslek voorafgaand aan de oplossing kan een in behandeling zijnde beloning annuleren. We behouden ons het recht voor om personen uit het programma te diskwalificeren wegens respectloos of storend gedrag.

We zullen niet onderhandelen als reactie op dwang of bedreigingen (we zullen bijvoorbeeld niet onderhandelen over het uitbetalingsbedrag onder dreiging van het achterhouden van de kwetsbaarheid of de dreiging van het vrijgeven van de kwetsbaarheid of enige blootgestelde gegevens aan het publiek).

Beveiligingskwetsbaarheidsproces:

( 1 ) Nitro erkent en beoordeelt elke gemelde kwetsbaarheid volgens de bovenstaande instructies, doorgaans binnen 7 dagen.

( 2 ) Wanneer een kwetsbaarheid wordt bevestigd, voert Nitro een risicoanalyse uit met behulp van het Common Vulnerability Scoring System (CVSS v 3 ) en bepaalt de meest geschikte reactie voor Nitro-klanten.

• Kritieke beveiligingsproblemen: problemen in de software die, als ze niet worden aangepakt, een hoog risico en waarschijnlijkheid met zich meebrengen voor ongeoorloofde toegang, wijziging of vernietiging van informatie op de computer van een gebruiker of aangesloten computers. Nitro lost kritieke beveiligingsproblemen op met een productupdate voor de huidige en vorige release van Nitro Pro en alle cloudservices, volgens het productupdates- en zonsondergangbeleid .
• Niet-kritieke beveiligingsproblemen: problemen in de software die, als ze niet worden aangepakt, een laag tot matig risico en waarschijnlijkheid met zich meebrengen voor ongeoorloofde toegang, wijziging of vernietiging van informatie op de computer van een gebruiker of aangesloten computers. Nitro zal naar eigen goeddunken niet-kritieke beveiligingsproblemen oplossen met alleen een productupdate voor de huidige release van Nitro Pro en alle cloudservices volgens het productupdates- en zonsondergangbeleid .

( 3 ) Nitro ontwerpt, implementeert en test een oplossing voor alle kritieke beveiligingsproblemen en levert een productupdate aan klanten, doorgaans binnen 90 dagen.

( 4 ) Nitro zal alle kritieke beveiligingsproblemen, getroffen versies en relevante details van productupdates die de problemen verhelpen openbaar maken op deze pagina met Nitro-beveiligingsupdates. Nitro erkent individuele beveiligingsonderzoekers niet publiekelijk voor hun inzendingen.

Buiten bereik gelegen beveiligingsproblemen

De volgende zaken vallen buiten de reikwijdte van dit beleid & beloningsprogramma:

• Aanvallen die fysieke toegang tot het apparaat van een gebruiker vereisen.
• Ontbrekende beveiligingsheaders die niet direct leiden tot een kwetsbaarheid.
• Ontbrekende best practices (we hebben bewijs nodig van een beveiligingsprobleem).
• Gebruik van een bekende-kwetsbare bibliotheek (zonder bewijs van exploiteerbaarheid).
• Social engineering van Nitro-medewerkers of -contractanten.
• Meldingen van onveilige SSL/TLS-coderingen (tenzij je een werkend proof of concept hebt en niet alleen een rapport van een scanner).
• Spoofing van inhoud en kwetsbaarheden voor pure tekstinjectie (waarbij u alleen tekst of een afbeelding in een pagina kunt invoegen). We zullen een spoofing-kwetsbaarheid accepteren en oplossen waarbij een aanvaller afbeelding of rich text (HTML) kan injecteren, maar het komt niet in aanmerking voor een premie.
• Nitro-services, tenzij u privé-IP's of Nitro-servers kunt bereiken.

Gevolgen van het naleven van dit beleid

We zullen geen civiele actie ondernemen of een klacht indienen bij wetshandhavers wegens onopzettelijke, te goeder trouw schendingen van dit beleid. We beschouwen activiteiten die worden uitgevoerd in overeenstemming met dit beleid als "geautoriseerd" gedrag onder de Computer Fraud and Abuse Act. Voor zover uw activiteiten niet in overeenstemming zijn met bepaalde beperkingen in ons beleid voor acceptabel gebruik, zien we af van deze beperkingen voor het beperkte doel om beveiligingsonderzoek onder dit beleid toe te staan. We zullen geen DMCA-claim tegen u indienen voor het omzeilen van de technologische maatregelen die we hebben gebruikt om de toepassingen in de reikwijdte te beschermen.

Als er juridische stappen tegen u worden ondernomen door een derde partij en u hebt voldaan aan het Nitro-beleid voor beveiligingsproblemen en bugbounty's, zal Nitro stappen ondernemen om bekend te maken dat uw acties zijn uitgevoerd in overeenstemming met dit beleid.

Dien alstublieft een rapport bij ons in voordat u zich inlaat met gedrag dat in strijd is met of niet wordt aangepakt door dit beleid.

De kleine lettertjes

U bent verantwoordelijk voor het betalen van eventuele belastingen in verband met beloningen. We kunnen de voorwaarden van dit programma wijzigen of dit programma op elk moment beëindigen. We zullen wijzigingen die we in deze programmavoorwaarden aanbrengen niet met terugwerkende kracht toepassen. Meldingen van personen die volgens de wet niet mogen betalen, komen niet in aanmerking voor beloningen. Nitro-werknemers en hun gezinsleden komen niet in aanmerking voor beloningen.

Om de acceptatie van bug bounty-programma's aan te moedigen en uniforme best practices voor beveiliging in de hele branche te promoten, behoudt Nitro zich geen rechten voor op dit bug bounty-beleid en bent u dus vrij om het voor uw eigen doeleinden te kopiëren en aan te passen.

Neem voor meer informatie contact op met het Nitro Security Team via security@gonitro.com

Update beveiligingsincident

Op september 30 2020 werd Nitro zich bewust van een geïsoleerd beveiligingsincident waarbij een onbevoegde derde partij beperkte toegang tot Nitro-databases had.

Toen Nitro hoorde over dit incident, ondernam het onmiddellijk actie om ervoor te zorgen dat de Nitro-omgeving veilig was en startte een onderzoek met de steun van vooraanstaande cyberbeveiligings- en forensische experts. Het onderzoek is nu voltooid en Nitro kan meer details geven:

• Het incident betrof toegang tot specifieke Nitro-databases, die bepaalde onlinediensten ondersteunen en voornamelijk zijn gebruikt voor de opslag van informatie die verband houdt met de gratis onlineproducten van Nitro.
• Voor de gratis online conversieservice van Nitro hoeven gebruikers geen Nitro-account aan te maken of Nitro-klant te worden. Gebruikers hoeven alleen maar een e-mailadres op te geven waarnaar geconverteerde bestanden worden afgeleverd.
• Er was geen impact op Nitro Pro of Nitro Analytics.
• Blootgestelde gebruikersgegevens omvatten e-mailadressen van gebruikers, volledige namen, zeer veilige gehashte en gezouten wachtwoorden, evenals metagegevens van documenten met betrekking tot de online Nitro-services. Een zeer klein deel van de informatie omvatte bedrijfsnamen, titels en IP-adressen.
• Wachtwoorden werden niet beïnvloed voor gebruikers die toegang hebben tot onze cloudservices via Single Sign-On (SSO).
• Het onderzoek identificeerde verder beperkte activiteit van de niet-geautoriseerde derde partij op een verouderde locatie van cloudservices, met een impact van minder dan 0 . 0073 % van de opgeslagen gegevens op deze locatie. De activiteit suggereert dat de ongeautoriseerde derde partij specifiek gericht was op het verkrijgen van gegevens met betrekking tot cryptocurrency.

Toen Nitro dit incident vernam, voerde Nitro een gedwongen wachtwoordreset uit voor alle gebruikers om de klantaccounts verder te beveiligen. Daarnaast omvat algemene richtlijnen voor het handhaven van een goede cyberhygiëne:

• Regelmatig online accountwachtwoorden wijzigen, een apart wachtwoord gebruiken voor internetbankieren en een wachtwoordbeheerder gebruiken om meerdere wachtwoorden te onthouden.
• Nooit wachtwoorden e-mailen voor online accounts en bevestigen of online accounts veilig zijn door naar https://haveibeenpwned.com/ te gaan.
• Waar mogelijk multi-factor authenticatie inschakelen voor online accounts en ervoor zorgen dat up-to-date antivirussoftware is geïnstalleerd op elk apparaat dat wordt gebruikt om toegang te krijgen tot online accounts.

Sinds het incident heeft het Nitro IT-beveiligingsteam nauw samengewerkt met externe cyberbeveiligingsexperts om de beveiliging van alle systemen te versterken, inclusief verbeterde logging-, detectie- en waarschuwingsservices in alle regio's, evenals verhoogde gegevensbewaking en herevaluatie van alle protocollen . De IT-omgeving blijft veilig en Nitro heeft sinds het incident geen kwaadwillende activiteiten meer gezien.

Nitro neemt de veiligheid en beveiliging van de gegevens van onze klanten serieus en we zijn hier om onze klanten op elke mogelijke manier te ondersteunen. We raden iedereen met vragen aan om contact op te nemen met incident@gonitro.com .