Sicherheit

Umgang mit Sicherheitsschwachstellen durch WHOOP

Unser Ziel bei WHOOP ist es, die menschliche Leistungsfähigkeit zu optimieren. Wir möchten unseren Mitgliedern helfen, ihr Leben zu verbessern, nicht sie auf Schritt und Tritt überwachen. Wie alle Unternehmen, die Wearables und Dienste anbieten, mit denen sich die eigene Gesundheit im Blick behalten lässt, erhebt und verarbeitet jedoch auch WHOOP personenbezogene und vertrauliche Daten von Nutzer:innen. Wir nehmen das Thema Datenschutz sehr ernst und sind dafür verantwortlich, die Daten unserer Mitglieder zu schützen. Während wir uns der Entwicklung innovativer Produkte verschrieben haben, sind wir uns bewusst, dass nur Produkte, die auch sicher sind, das in uns gesetzte Vertrauen rechtfertigen können.

Die Informationen auf dieser Seite richten sich an Sicherheitsforscher:innen und expert:innen.

Wenn du WHOOP Mitglied bist und ein Sicherheitsproblem mit deinem Konto aufgetreten ist, wende dich bitte an den Mitgliederservice.

Sicherheitsprobleme melden

Meldungen über Sicherheitsschwachstellen bei Plattform und Produkten von WHOOP werden jederzeit entgegengenommen. Falls Sie auf der Plattform oder in einem Produkt von WHOOP eine mutmaßliche Schwachstelle festgestellt haben oder einen sicherheitsrelevanten Vorfall melden möchten, kontaktieren Sie uns bitte über das Formular unten. Nach Erhalt deiner Nachricht senden wir dir eine Antwort mit einer Kennung zur Nachverfolgung. WHOOP ergreift keine rechtlichen Schritte gegen Personen, die in gutem Glauben Schwachstellen über einen der oben genannten Wege melden.

WHOOP Richtlinie zur Offenlegung von Schwachstellen

Bei der Offenlegung von Schwachstellen ist sowohl seitens WHOOP als auch seitens der jeweils beteiligten Sicherheitsexpert:innen verantwortungsvolles Handeln gefragt. Aus diesem Grund hält WHOOP bei Offenlegungen stets eine 90-tägige Frist ein (die „Frist“). Wir benachrichtigen betroffene Anbieter sofort über Schwachstellen und legen die Details nach Ablauf der Frist offen (oder früher, sofern der Anbieter eine Fehlerbehebung veröffentlicht). Die Frist kann dabei wie folgt variieren:

  • Wenn das Ende einer Frist auf ein Wochenende oder auf einen Feiertag in den USA fällt, endet die Frist am nächsten regulären Werktag.
  • Wenn uns ein Anbieter vor Ablauf der Frist mitteilt, dass innerhalb von 14 Tagen nach Fristende eine Fehlerbehebung veröffentlicht werden soll und dabei ein konkretes Datum nennt, wird die Offenlegung verschoben, bis die Fehlerbehebung verfügbar ist.

Sollten wir in einer Software eine bisher unbekannte und nicht behobene Schwachstelle feststellen, die aktiv ausgenutzt wird („Zero-Day-Schwachstelle“), werden wir innerhalb von sieben Tagen entsprechende Schritte ergreifen. Dieses schnellere Vorgehen ist erforderlich, da mit jedem Tag, an dem eine aktiv ausgenutzte Schwachstelle der Öffentlichkeit verborgen bleibt und nicht behoben wird, mehr Geräte oder Konten gefährdet werden. Sieben Tage sind ein knapp bemessener Zeitraum und könnten einigen Anbietern nicht ausreichen, um ein entsprechendes Update für ihre Produkte bereitzustellen. Jedoch sollten sieben Tage genug Zeit sein, um Informationen zu möglichen Abhilfemaßnahmen zu veröffentlichen, wie zum Beispiel die vorübergehende Deaktivierung eines Dienstes, die Einschränkung des Zugangs oder die Kontaktaufnahme mit dem Anbieter für weitere Informationen. Sollten nach sieben Tagen keine Fehlerbehebung oder Informationen zu Abhilfemaßnahmen veröffentlicht worden sein, unterstützen wir Sicherheitsexpert:innen dabei, Nutzer:innen nähere Informationen zur Verfügung zu stellen, damit sie selbst Maßnahmen zur Absicherung ergreifen können.

Bei außergewöhnlichen Umständen behalten wir uns vor, die Frist vorzuverlegen bzw. zu verlängern. Alle Anbieter werden an den gleichen strengen Standards gemessen, die selbstverständlich auch für WHOOP gelten.

Mit dieser Richtlinie möchten wir innerhalb der Branche zu schnelleren Reaktionen auf Sicherheitsprobleme beitragen und gleichzeitig Spielraum schaffen, wenn die Behebung von Fehlern etwas mehr Zeit in Anspruch nimmt als von der Frist vorgesehen. WHOOP empfiehlt allen Sicherheitsexpert:innen, Fristen für die Offenlegung von Schwachstellen festzulegen. Bei Bedarf kann unsere Richtlinie gerne als Vorlage verwendet werden. Fristen sorgen dafür, dass innerhalb eines angemessenen Zeitrahmens an der Behebung von Schwachstellen gearbeitet wird und sich böswilligen Hackern so weniger Möglichkeiten bieten, Schwachstellen auszunutzen. Schließlich sind wir der Ansicht, dass Richtlinien zur Offenlegung von Schwachstellen zur Sicherheit aller Internetnutzer:innen beitragen.