Laatst bijgewerkt: 07/28/2023
Oorspronkelijk gepubliceerd: 07/25/2023

Update

Nitro heeft een nieuwe versie van Nitro PDF Pro uitgebracht, die mogelijke beveiligingsproblemen verhelpt.

Laatst bijgewerkt: 03/16/2023
Oorspronkelijk gepubliceerd: 03/16/2023

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

Laatst bijgewerkt: 12/7/2022
Oorspronkelijk gepubliceerd: 12/7/2022

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

Laatst bijgewerkt: 10/25/2021
Oorspronkelijk gepubliceerd: 10/25/2021

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

Laatst bijgewerkt: 9/10/2021
Oorspronkelijk gepubliceerd: 9/10/2021

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

Laatst bijgewerkt: 9/17/2020
Oorspronkelijk gepubliceerd: 9/1/2020

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

Laatst bijgewerkt: 9/1/2020
Oorspronkelijk gepubliceerd: 9/1/2020

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

Laatst bijgewerkt: 8/2/2020
Oorspronkelijk gepubliceerd: 8/2/2020

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

Laatst bijgewerkt: 5/8/2020
Oorspronkelijk gepubliceerd: 5/8/2020

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

Laatst bijgewerkt: 3/9/2020
Oorspronkelijk gepubliceerd: 3/9/2020

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

Oplossing

Nitro raadt klanten die via de Nitro eCommerce winkel hebben gekocht aan hun software bij te werken naar de nieuwste versie hieronder. Klanten met Team-plannen kunnen contact opnemen met hun Nitro Account Manager voor toegang tot bijgewerkte installateurs en implementatie-instructies. Klanten met een Enterprise-plan die een Customer Success Manager toegewezen krijgen, ontvangen details van bijgewerkte releases die de problemen aanpakken.

Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.

Laatst bijgewerkt: 1/9/2020
Oorspronkelijk gepubliceerd: 10/31/2019

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

Oplossing

Nitro raadt klanten die via de Nitro eCommerce winkel hebben gekocht aan hun software bij te werken naar de nieuwste versie hieronder. Klanten met Team-plannen kunnen contact opnemen met hun Nitro Account Manager voor toegang tot bijgewerkte installateurs en implementatie-instructies. Klanten met een Enterprise-plan die een Customer Success Manager toegewezen krijgen, ontvangen details van bijgewerkte releases die de problemen aanpakken.

Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.

Laatst bijgewerkt: 12/20/2019
Oorspronkelijk gepubliceerd: 12/20/2019

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

Oplossing

Nitro raadt klanten die via de Nitro eCommerce winkel hebben gekocht aan hun software bij te werken naar de nieuwste versie hieronder. Klanten met Team-plannen kunnen contact opnemen met hun Nitro Account Manager voor toegang tot bijgewerkte installateurs en implementatie-instructies. Klanten met een Enterprise-plan die een Customer Success Manager toegewezen krijgen, ontvangen details van bijgewerkte releases die de problemen aanpakken.

Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.

Laatst bijgewerkt: 10/18/2019
Oorspronkelijk gepubliceerd: 10/18/2019

Update

Nitro werkt actief aan een aantal onlangs gepubliceerde potentiële kwetsbaarheden. Toen wij op het bestaan ervan werden gewezen, hebben wij de juistheid van de claims geëvalueerd, de ernst en waarschijnlijkheid van uitbuiting beoordeeld en (op basis van onze bestaande proactieve procedures voor het analyseren en afhandelen van kwetsbaarheden) de kwetsbaarheden in onze herstelwachtrij geplaatst.

Wij nemen deze kwetsbaarheden serieus en zullen ze in een volgende update verhelpen. Voor meer informatie kunt u contact opnemen met security@gonitro.com.

Laatst bijgewerkt: 11/17/2017
Oorspronkelijk gepubliceerd: 11/17/2017

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

Oplossing

Nitro raadt persoonlijke (individuele) gebruikers aan hun software bij te werken tot de laatste onderstaande versie. Zakelijke klanten kunnen contact opnemen met hun Nitro Account Manager voor toegang tot beveiligingsupdates en implementatie-instructies. Enterprise-klanten met een speciale Customer Success Manager ontvangen details van bijgewerkte releases die de problemen aanpakken.

Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.

Laatst bijgewerkt: 9/27/2017
Oorspronkelijk gepubliceerd: 9/27/2017

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

Oplossing

Nitro raadt persoonlijke (individuele) gebruikers aan hun software bij te werken tot de laatste onderstaande versie. Zakelijke klanten kunnen contact opnemen met hun Nitro Account Manager voor toegang tot beveiligingsupdates en implementatie-instructies. Enterprise-klanten met een speciale Customer Success Manager ontvangen details van bijgewerkte releases die de problemen aanpakken.

Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.

Oorspronkelijk gepubliceerd: 7/21/2017

Laatst bijgewerkt: 8/25/2017

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

Oplossing

Nitro raadt persoonlijke (individuele) gebruikers aan hun software bij te werken naar de nieuwste versie, waarin deze kwetsbaarheden zijn verholpen. Zakelijke klanten kunnen contact opnemen met hun Nitro Account Manager voor toegang tot de nieuwste versie en implementatie-instructies. Enterprise-klanten met een speciale Customer Success Manager ontvangen details van bijgewerkte releases die de problemen aanpakken.

Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.

Oorspronkelijk gepubliceerd: 2/3/2017

Laatst bijgewerkt: 8/25/2017

Update

Nitro heeft een nieuwe versie van Nitro Pro uitgebracht, die mogelijke beveiligingsproblemen oplost.

Oplossing

Nitro raadt persoonlijke (individuele) gebruikers aan hun software bij te werken naar de nieuwste versie, waarin deze kwetsbaarheden zijn verholpen. Zakelijke klanten kunnen contact opnemen met hun Nitro Account Manager voor toegang tot de nieuwste versie en implementatie-instructies. Enterprise-klanten met een speciale Customer Success Manager ontvangen details van bijgewerkte releases die de problemen aanpakken.

Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.

Nitro Security Vulnerability & Bug Bounty Beleid

Beleid

Nitro is er trots op dat er in het verleden weinig Product Updates nodig waren voor beveiligingsproblemen. De veiligheid en beveiliging van gebruikersinformatie is voor ons bij Nitro een topprioriteit en een belangrijke bedrijfswaarde. Wij verwelkomen de bijdrage van externe beveiligingsonderzoekers en kijken ernaar uit hen te belonen voor hun onschatbare bijdrage aan de beveiliging van alle Nitro-gebruikers.

Beloningen

Nitro biedt naar eigen goeddunken beloningen voor geaccepteerde rapporten over kwetsbaarheden. Onze minimale beloning is een $25 USD Amazon gift card. Beloningsbedragen kunnen variëren afhankelijk van de ernst van de gemelde kwetsbaarheid en de kwaliteit van het rapport. Vergeet niet dat dit geen wedstrijd of competitie is. Wij behouden ons het recht voor het bedrag en zelfs de toekenning van een beloning te bepalen.

Toepassingen in toepassingsgebied

Nitro Pro, Nitro Sign en Nitro Admin toepassingen komen in aanmerking voor het premieprogramma. Daarnaast komen ook applicaties van partnerplatforms in de cloud in aanmerking (bijv. Nitro File Actions). Wij kunnen nog steeds alles met een aanzienlijke impact op onze gehele beveiliging belonen, dus wij moedigen u aan dergelijke kwetsbaarheden via dit programma te melden.

Rapportage van beveiligingskwetsbaarheden &

Alle beveiligingsproblemen van Nitro moeten per e-mail worden gemeld aan het Nitro Security Team op security@gonitro.com. Om de ontdekking en rapportage van kwetsbaarheden te bevorderen en de veiligheid van gebruikers te vergroten, vragen wij u:

• Deel het beveiligingsprobleem in detail met ons, inclusief de naam van de toepassing, de betrokken versie/build, beknopte stappen om de kwetsbaarheid te reproduceren die gemakkelijk te begrijpen zijn, informatie over de werkelijke en potentiële impact van de kwetsbaarheid en details over hoe de kwetsbaarheid zou kunnen worden uitgebuit;
• Voeg een proof-of-concept bestand toe;
• Respecteer onze bestaande toepassingen. Het spammen van formulieren via automatische kwetsbaarheidsscanners zal niet resulteren in een bounty beloning omdat deze expliciet buiten het toepassingsgebied vallen;
• Geef ons een redelijke termijn om op de kwestie te reageren voordat u informatie hierover openbaar maakt;
• Onze gegevens of die van onze gebruikers niet openen of wijzigen zonder uitdrukkelijke toestemming van de eigenaar. Communiceer alleen met uw eigen accounts of testaccounts voor veiligheidsonderzoek;
• Neem onmiddellijk contact met ons op als u per ongeluk gebruikersgegevens tegenkomt. De gegevens niet bekijken, wijzigen, opslaan, overdragen of op andere wijze benaderen, en onmiddellijk alle lokale informatie wissen nadat de kwetsbaarheid aan Nitro is gemeld;
• Te goeder trouw handelen om schending van de privacy, vernietiging van gegevens en onderbreking of verslechtering van onze diensten (met inbegrip van denial of service) te voorkomen; en
• Voldoe anders aan alle toepasselijke wetten.

Wij belonen alleen de eerste melder van een kwetsbaarheid. Openbaarmaking van de kwetsbaarheid voordat deze is opgelost, kan een lopende beloning doen vervallen. Wij behouden ons het recht voor om personen van het programma te diskwalificeren wegens respectloos of storend gedrag.

Wij zullen niet onderhandelen als reactie op dwang of bedreigingen (wij zullen bijvoorbeeld niet onderhandelen over het uitbetalingsbedrag onder bedreiging van het achterhouden van de kwetsbaarheid of onder bedreiging van het vrijgeven van de kwetsbaarheid of blootgestelde gegevens aan het publiek).

Beveiligingskwetsbaarheidsproces:

(1) Nitro zal elke gemelde kwetsbaarheid volgens bovenstaande instructies bevestigen en beoordelen, gewoonlijk binnen 7 dagen.

(2) Wanneer een kwetsbaarheid is bevestigd, zal Nitro een risicoanalyse uitvoeren met behulp van het Common Vulnerability Scoring System (CVSS v3) en de meest geschikte reactie voor Nitro-klanten bepalen.

• Kritieke beveiligingskwetsbaarheden: Problemen in de software die, indien niet aangepakt, een hoog risico en waarschijnlijkheid inhouden van ongeoorloofde toegang, wijziging of vernietiging van informatie op de computer van een gebruiker of aangesloten computers. Nitro zal kritieke beveiligingsproblemen oplossen met een Product Update voor de huidige en vorige versie van Nitro Pro en alle cloudservices, volgens het Product Updates & Sunset Policy.
• Niet-kritieke beveiligingskwetsbaarheden: Problemen in de software die, indien niet aangepakt, een laag tot matig risico en waarschijnlijkheid inhouden van ongeoorloofde toegang, wijziging of vernietiging van informatie op de computer van een gebruiker of aangesloten computers. Nitro zal naar eigen goeddunken niet-kritieke beveiligingskwetsbaarheden oplossen met een productupdate voor de huidige release van alleen Nitro Pro, en alle cloudservices volgens het beleid voor productupdates & Sunset.

(3) Nitro ontwerpt en implementeert & test een oplossing voor alle kritieke veiligheidslekken en levert een productupdate aan klanten, gewoonlijk binnen 90 dagen.

(4) Nitro zal op deze Nitro Security Updates-pagina alle kritieke beveiligingsproblemen, de betreffende versies en relevante details van productupdates die de problemen verhelpen, openbaar maken. Nitro erkent individuele beveiligingsonderzoekers niet publiekelijk voor hun inzendingen.

Kwetsbaarheden in de beveiliging buiten de scope

De volgende zaken vallen buiten het bereik van dit beleid & beloningsprogramma:

• Aanvallen waarvoor fysieke toegang tot het apparaat van een gebruiker nodig is.
• Ontbrekende security headers die niet direct tot een kwetsbaarheid leiden.
• Ontbrekende best practices (wij eisen bewijs van een beveiligingslek).
• Gebruik van een bekende kwetsbare bibliotheek (zonder bewijs van exploiteerbaarheid).
• Social engineering van werknemers of contractanten van Nitro.
• Meldingen van onveilige SSL/TLS-codes (tenzij u een werkend proof of concept hebt, en niet alleen een melding van een scanner).
• Content spoofing en pure text injection kwetsbaarheden (waarbij u alleen tekst of een afbeelding in een pagina kunt injecteren). Wij accepteren en verhelpen een spoofing-kwetsbaarheid waarbij de aanvaller een afbeelding of rijke tekst (HTML) kan injecteren, maar dit komt niet in aanmerking voor een premie.
• Nitro diensten, tenzij u in staat bent om privé IP's of Nitro servers te raken.

Gevolgen van de naleving van dit beleid

Wij zullen geen civiele actie ondernemen of een klacht indienen bij de rechtshandhaving voor toevallige schendingen te goeder trouw van dit beleid. Wij beschouwen activiteiten die in overeenstemming met dit beleid worden uitgevoerd als "geautoriseerd" gedrag onder de Computer Fraud and Abuse Act. Voor zover uw activiteiten niet in overeenstemming zijn met bepaalde beperkingen in ons beleid voor aanvaardbaar gebruik, zien wij af van deze beperkingen voor het beperkte doel om veiligheidsonderzoek onder dit beleid toe te staan. Wij zullen geen DMCA-claim tegen u indienen voor het omzeilen van de technologische maatregelen die wij hebben gebruikt om de toepassingen in het toepassingsgebied te beschermen.

Als er door een derde partij gerechtelijke stappen tegen u worden ondernomen en u heeft zich gehouden aan Nitro's beleid inzake veiligheidslekken & Bug Bounty, dan zal Nitro stappen ondernemen om bekend te maken dat uw acties in overeenstemming met dit beleid zijn uitgevoerd.

Gelieve een rapport aan ons voor te leggen voordat u zich inlaat met gedrag dat in strijd is met of niet wordt behandeld door dit beleid.

De kleine lettertjes

U bent verantwoordelijk voor de betaling van eventuele belastingen in verband met beloningen. Wij kunnen de voorwaarden van dit programma wijzigen of dit programma te allen tijde beëindigen. Wij zullen wijzigingen die wij in deze programmavoorwaarden aanbrengen niet met terugwerkende kracht toepassen. Meldingen van personen die wij wettelijk niet mogen betalen, komen niet in aanmerking voor beloningen. Werknemers van Nitro en hun gezinsleden komen niet in aanmerking voor beloningen.

Om de invoering van bug bounty-programma's aan te moedigen en uniforme beste praktijken op het gebied van beveiliging in de branche te bevorderen, behoudt Nitro zich geen rechten voor op dit bug bounty-beleid en staat het u dus vrij dit voor uw eigen doeleinden te kopiëren en aan te passen.

Voor meer informatie kunt u contact opnemen met het Nitro Security Team op security@gonitro.com.

Update beveiligingsincidenten

Op 30 september 2020 werd Nitro zich bewust van een geïsoleerd beveiligingsincident waarbij een onbevoegde derde partij beperkte toegang had tot Nitro-databases.

Toen Nitro van dit incident hoorde, nam het onmiddellijk maatregelen om ervoor te zorgen dat de Nitro-omgeving veilig was en startte het een onderzoek met de steun van vooraanstaande cyberbeveiligings- en forensische experts. Het onderzoek is nu afgerond en Nitro kan verdere details verstrekken:

• Het incident betrof de toegang tot specifieke databases van Nitro, die bepaalde onlinediensten ondersteunen en voornamelijk werden gebruikt voor de opslag van informatie in verband met de gratis onlineproducten van Nitro.
• Voor de gratis online conversieservice van Nitro hoeven gebruikers geen Nitro-account aan te maken of klant van Nitro te worden. Gebruikers hoeven alleen maar een e-mailadres op te geven waarop de geconverteerde bestanden worden afgeleverd.
• Er was geen impact op Nitro Pro of Nitro Analytics.
• Tot de blootgelegde gebruikersgegevens behoorden e-mailadressen van gebruikers, volledige namen, sterk beveiligde gehashte en gezouten wachtwoorden en metadata van documenten in verband met de online diensten van Nitro. Een zeer klein deel van de informatie omvatte bedrijfsnamen, titels en IP-adressen.
• Wachtwoorden werden niet beïnvloed voor gebruikers die via Single Sign-On (SSO) toegang hebben tot onze clouddiensten.
• Het onderzoek wees verder op beperkte activiteiten van de onbevoegde derde partij op een oude locatie voor clouddiensten, met gevolgen voor minder dan 0.0073% van de opgeslagen gegevens op deze locatie. De activiteit suggereert dat de onbevoegde derde specifiek gericht was op het verkrijgen van gegevens met betrekking tot cryptocurrency.

Toen Nitro van dit incident hoorde, heeft het bedrijf alle gebruikers geforceerd een nieuw wachtwoord gegeven om de klantenaccounts verder te beveiligen. Daarnaast zijn er algemene richtlijnen om een goede cyberhygiëne te handhaven:

• Wijzig regelmatig de wachtwoorden voor online rekeningen, gebruik een apart wachtwoord voor internetbankieren en gebruik een wachtwoordmanager om meerdere wachtwoorden te onthouden.
• E-mail nooit wachtwoorden voor online accounts en controleer of online accounts veilig zijn door naarhttps://haveibeenpwned.com/ te gaan.
• Waar mogelijk multi-factor authenticatie inschakelen voor online accounts en ervoor zorgen dat up-to-date anti-virussoftware is geïnstalleerd op elk apparaat dat wordt gebruikt voor toegang tot online accounts.

Sinds het incident heeft het IT-beveiligingsteam van Nitro nauw samengewerkt met externe cyberbeveiligingsdeskundigen om de beveiliging van alle systemen te verbeteren, waaronder verbeterde logging-, detectie- en waarschuwingsdiensten in alle regio's, evenals verhoogde gegevensbewaking en herevaluatie van alle protocollen. De IT-omgeving blijft veilig en Nitro heeft sinds het incident geen kwaadaardige activiteiten meer gezien.

Nitro neemt de veiligheid en beveiliging van de gegevens van onze klanten serieus, en wij staan klaar om onze klanten op alle mogelijke manieren te ondersteunen. Wij raden iedereen die vragen heeft aan om contact op te nemen metincident@gonitro.com.