Berichte zu Schwachstellen

Meldung vermuteter Schwachstellen

  • Amazon Web Services (AWS): Um eine Schwachstelle oder ein Sicherheitsproblem in Bezug auf AWS-Cloud-Services oder Open-Source-Projekte zu melden, besuchen Sie unser Programm zur Offenlegung von Schwachstellen auf HackerOne. Für Einsendungen außerhalb des H1-Bereichs/der H1-Plattform oder bei Fragen wenden Sie sich bitte an aws-security@amazon.com (PGP-Schlüssel).
  • Amazon: Benachrichtigen Sie die Einzelhandelssicherheit über eine Schwachstelle oder ein Sicherheitsproblem bei Amazon Einzelhandelsservices oder Produkten.
  • Penetrationstest: AWS-Kunden sind eingeladen, Sicherheitsbewertungen oder Penetrationstests für ihre AWS-Infrastruktur ohne vorherige Genehmigung für die aufgeführten Services durchzuführen. Weitere Hinweise finden Sie in der Richtlinie für Penetrationstest.
  • AWS-Missbrauch: Wenn Sie vermuten, dass AWS-Ressourcen (z. B. eine EC2-Instance oder ein S3-Bucket) für verdächtige Aktivitäten genutzt werden, füllen Sie bitte das AWS-Missbrauchsformular aus oder wenden Sie sich an trustandsafety@support.aws.com.

Damit wir wirkungsvoller auf Ihre Meldung reagieren können, stellen Sie bitte sämtliche hilfreichen Informationen bereit (Code von Machbarkeitsnachweis, Ausgaben von Tools usw.), mit deren Hilfe wir Typ und Schweregrad der Schwachstelle bestimmen können.

Amazon CNA-Geltungsbereich

Der Amazon CNA wird CVEs herausgeben, die Kunden dabei unterstützen, gültige Sicherheitsschwachstellen innerhalb der folgenden Klassen zu beheben:

  • AWS-Services, die von AWS bereitgestellt werden und für Kunden öffentlich verfügbar sind. (z. B. Amazon EC2, Amazon RDS).
  • Amazon Services, die von Amazon bereitgestellt werden und für Kunden öffentlich verfügbar sind. (z. B. Amazon.com Seller API Service).
  • Open-Source-Software innerhalb einer GitHub-Organisation, die von Amazon oder AWS verwaltet wird.
  • Clientsoftware, die von Amazon oder AWS veröffentlicht wird und von einer Website oder einem Download-Speicherort heruntergeladen werden kann, der uns gehört und von uns betrieben wird (z. B. Amazon Appstore SDK, Amazon Input SDK, Amazon Kindle App, Amazon MShop App, Amazon WorkSpaces Client).
  • Geräte, die von Amazon oder AWS hergestellt werden und den Kunden zum Kauf und zur Nutzung zur Verfügung stehen (z. B. Amazon Fire TV, Amazon Echo-Geräte, Amazon Kindle, AWS Outpost).

Darüber hinaus müssen alle folgenden Anforderungen erfüllt sein:

  • Auswirkungen auf den Kunden: Das Problem muss innerhalb einer Amazon- oder AWS-eigenen Klasse bestehen, die für Kunden öffentlich verfügbar ist; UND
  • Kundenagentur: Die Behebung von Problemen mit unterstützten oder EOL/EOS-Produkten erfordert Maßnahmen des Kunden, einschließlich einer risikobasierten Entscheidung über den Umgang mit der Behebung (ODER Kunden müssen die möglichen Auswirkungen bewerten) ODER wenn eine gültige Sicherheitsschwachstelle öffentlich wird (ODER das Potenzial hat, öffentlich zu werden); UND
  • CVSS-Wert: 4,0 (MEDIUM) oder höher.

Zu den Services, Software- oder Hardware-Problemen , die nicht als Schwachstelle eingestuft werden, gehören unter anderem:

  • Nicht standardmäßige Konfiguration oder Änderungen, die mit gültigen Anmeldeinformationen vorgenommen wurden, die ordnungsgemäß autorisiert wurden
  • Anvisieren von Vermögenswerten von Amazon- oder AWS-Kunden (oder Nicht-AWS-Websites, die auf der AWS-Infrastruktur gehostet werden)
  • Jede Schwachstelle, die durch die Gefährdung von Amazon- oder AWS-Kunden- oder Mitarbeiterkonten entsteht
  • Jeder Denial-of-Service-Angriff (DoS) gegen Amazon- oder AWS-Produkte (oder Amazon- oder AWS-Kunden)
  • Physische Angriffe gegen Amazon- oder AWS-Mitarbeiter, Büros und Rechenzentren
  • Social Engineering von Amazon- oder AWS-Mitarbeitern, Auftragnehmern, Händlern oder Service-Anbietern
  • Das wissentliche Posten, Übertragen, Hochladen, Verknüpfen oder Senden von Malware
  • Das Aufsuchen von Schwachstellen, die unerwünschte Massennachrichten senden (Spam)

Berichte zu AWS-Schwachstellen

AWS hat sich verpflichtet, schnell zu antworten und Sie über unsere Fortschritte zu informieren. Sie erhalten innerhalb von 24 Stunden eine nicht-automatisierte Antwort, die den Eingang Ihres ersten Berichts bestätigt, zeitnahe Aktualisierungen und monatliche Überprüfungen während des gesamten Projekts. Sie können jederzeit Aktualisierungen anfordern, und wir freuen uns über den Dialog, der Bedenken klärt oder die Offenlegung koordiniert.

Die oben genannten Aktivitäten, die als keine Schwachstelle eingestuft werden, fallen auch nicht in den Geltungsbereich des Offenlegungsprogramms für AWS-Schwachstellen. Die Durchführung einer der oben genannten Aktivitäten führt zur dauerhaften Disqualifikation vom Programm.

Öffentliche Bekanntgabe

Sofern zutreffend, koordiniert AWS die öffentliche Bekanntgabe einer bestätigten Schwachstelle mit Ihnen. Wir ziehen es nach Möglichkeit vor, dass unsere jeweiligen öffentlichen Bekanntgaben gleichzeitig veröffentlicht werden.

Zum Schutz unserer Kunden bittet AWS Sie, keine Informationen zu einer potenziellen Schwachstelle zu veröffentlichen oder an die Öffentlichkeit weiterzugeben, bis wir die gemeldete Schwachstelle behoben und die Kunden gegebenenfalls informiert haben. Außerdem bitten wir Sie höflich, keine Daten zu veröffentlichen oder mit anderen zu teilen, die unseren Kunden gehören. Bitte beachten Sie, dass die zur Behebung einer Schwachstelle benötigte Zeit vom Schweregrad der Schwachstelle und den betroffenen Systemen abhängt.

AWS macht öffentliche Bekanntgaben in Form von Sicherheitsberichten, die im AWS-Sicherheitszentrum veröffentlicht werden. Einzelpersonen, Unternehmen und Sicherheitsteams veröffentlichen ihre Ratschläge zumeist auf ihren eigenen Websites oder in anderen Foren. Sofern relevant, fügen wir in AWS-Sicherheitsberichten Links zu den Ressourcen von Dritten hinzu.  

Safe Harbor

Wir sind der Ansicht, dass eine nach Treu und Glauben durchgeführte Sicherheitsforschung mit großer Sorgfalt durchgeführt werden sollte. Aus Sicherheitsgründen und zur Meldung von Sicherheitslücken haben wir Gold Standard Safe Harbor eingeführt. Wir freuen uns auf die Zusammenarbeit mit Sicherheitsforschern, die unsere Leidenschaft für den Schutz unserer Kunden teilen.

Gold Standard Safe Harbor unterstützt den Schutz von Unternehmen und Hackern, die sich mit Sicherheitsforschung nach Treu und Glauben befassen. Unter „eine nach Treu und Glauben durchgeführte Sicherheitsforschung“ versteht man den Zugriff auf einen Computer ausschließlich zum Zweck der Prüfung, Untersuchung und/oder Behebung einer Sicherheitslücke oder -schwachstelle nach Treu und Glauben. Eine solche Aktivität wird in einer Weise durchgeführt, die darauf ausgelegt ist, Schäden für Einzelpersonen oder die Öffentlichkeit zu vermeiden, und wobei die aus der Aktivität gewonnenen Informationen in erster Linie dazu verwendet werden, die Sicherheit der Klasse von Geräten, Maschinen oder Online-Services zu fördern, zu denen der Computer gehört, auf den zugegriffen wurde, oder derjenigen, die solche Geräte, Maschinen oder Online-Services verwenden.

Wir betrachten nach Treu und Glauben durchgeführte Sicherheitsforschung als autorisierte Aktivität, die vor gerichtlichen Schritten durch uns geschützt ist. Wir verzichten auf jegliche relevante Einschränkung in unseren Servicebedingungen („TOS“) und/oder Nutzungsrichtlinien („AUP“), die im Widerspruch zu dem hier beschriebenen nach Treu und Glauben durchgeführte Sicherheitsforschung steht.

Dies bedeutet, dass wir für Aktivitäten, die während der Laufzeit dieses Programms durchgeführt werden, Folgendes tun:

  • Wir werden keine rechtlichen Schritte gegen Sie einleiten oder Sie bezüglich nach Treu und Glauben durchgeführte Sicherheitsforschung melden, auch nicht wegen der Umgehung technischer Maßnahmen, die wir zum Schutz der betroffenen Anwendungen verwenden, und
  • Wir werden Maßnahmen ergreifen, um bekannt zu geben, dass Sie eine Sicherheitsforschung nach Treu und Glauben durchgeführt haben, falls jemand anderes rechtliche Schritte gegen Sie einleitet.

Sie sollten uns zur Klärung kontaktieren, bevor Sie ein Verhalten vornehmen, das Ihrer Meinung nach nicht mit der Sicherheitsforschung nach Treu und Glauben vereinbar ist oder nicht von unserer Richtlinie nicht erfasst werden.

Berücksichtigen Sie, dass wir keine Sicherheitsforschung für die Infrastruktur Dritter genehmigen können und Dritte nicht an diese Safe-Harbor-Erklärung gebunden sind.

Verschwiegenheitsrichtlinie

Nach Eingang des Berichts arbeiten wir an die Prüfung der gemeldeten Schwachstelle. Wenn zur Bestätigung oder Reproduktion des Problems weitere Informationen erforderlich sind, arbeiten wir gemeinsam mit Ihnen daran, diese zu beschaffen. Nach Abschluss der Untersuchung erhalten Sie die Ergebnisse, zu denen ein Plan zur Behebung gehört. Außerdem erfolgt eine Besprechung der öffentlichen Bekanntgabe.

Einige Anmerkungen zu diesem Vorgang:

  1. Produkte von Drittanbietern: Wenn sich herausstellt, dass die Schwachstelle ein Produkt von Drittanbietern betrifft, informieren wir den Eigentümer der betroffenen Technologie. Wir übernehmen weiterhin die Koordination zwischen Ihnen und dem Drittanbieter. Ihre Identität wird diesem Anbieter nur mit Ihrer Erlaubnis preisgegeben.
  2. Bestätigung von nicht vorhandenen Schwachstellen: Wenn das Problem nicht bestätigt werden kann oder sich herausstellt, dass es nicht im Umfang liegt, wird Ihnen dies mitgeteilt.
  3. Einstufung von Schwachstellen: Zur Bewertung potenzieller Schwachstellen verwenden wir Version 3.1 des Common Vulnerability Scoring System (CVSS). Anhand des Ergebnisses kann der Schweregrad des Problems bestimmt und unsere Reaktion mit Prioritäten versehen werden. Weitere Informationen zu CVSS finden Sie auf der NVD-Website.

Wenn Sie in gutem Glauben an unserem Programm zur Offenlegung von Schwachstellen teilnehmen, bitten wir Sie um Folgendes:

  • Halten Sie sich an die Regeln, einschließlich der Einhaltung dieser Richtlinie und aller anderen relevanten Vereinbarungen. Bei Widersprüchen zwischen dieser Richtlinie und anderen geltenden Bedingungen haben die Bedingungen dieser Richtlinie Vorrang;
  • Melden Sie alle Schwachstellen, die Sie entdeckt haben, umgehend;
  • Vermeiden Sie es, die Privatsphäre anderer zu verletzen, unsere Systeme zu stören, Daten zu zerstören und/oder die Benutzererfahrung zu beeinträchtigen;
  • Verwenden Sie nur die zuvor genannten Kanäle, um Schwachstellen mit uns zu besprechen;
  • Geben Sie uns ab dem ersten Bericht einen angemessenen Zeitraum, um das Problem zu lösen, bevor Sie es öffentlich bekannt geben;
  • Führen Sie Tests nur an Systemen durch, die im Geltungsbereich enthalten sind, und respektieren Sie Systeme und Aktivitäten, die außerhalb des Geltungsbereichs liegen;
  • Wenn eine Schwachstelle einen unbeabsichtigten Zugriff auf Daten ermöglicht: Beschränken Sie die Datenmenge, auf die Sie zugreifen, auf das Minimum, das für den effektiven Nachweis eines Machbarkeitsnachweises erforderlich ist. und beenden Sie Tests und übermitteln Sie sofort einen Bericht, wenn Sie während des Tests auf Benutzerdaten stoßen, wie z. B. persönlich identifizierbare Informationen (PII), persönliche Gesundheitsinformationen (PHI), Kreditkartendaten oder geschützte Informationen;
  • Interagieren Sie nur mit Testkonten, deren Eigentümer Sie sind oder für die Sie die ausdrückliche Erlaubnis des Kontoinhabers haben.
  • Beteiligen Sie sich nicht an Erpressung.
Wenden Sie sich an einen AWS-Kundenbetreuer
Haben Sie Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Sicherheitsrollen?
Melden Sie sich jetzt an »
Möchten Sie Updates zu AWS Security erhalten?
Folgen Sie uns auf Twitter »