Vulnerability Disclosure Policy (VDP)

Sicherheit ist ein zentraler Bestandteil unserer Werte, und wir schätzen den Beitrag externer Sicherheitsforscher, die in gutem Glauben handeln, um uns dabei zu helfen, einen hohen Standard für den Schutz der Sicherheit unserer Benutzer und Systeme aufrechtzuerhalten.

Diese Richtlinie legt unsere Definition von Treu und Glauben im Zusammenhang mit dem Auffinden und Melden von Sicherheitslücken dar, sowie das, was Sie von uns als Gegenleistung für Ihre Bemühungen, Fähigkeiten und Ihr Engagement erwarten können.

Unsere Richtlinien

Wir möchten alle Sicherheitsforscher bitten, dass sie

  • nach Treu und Glauben handeln, um Datenschutzverletzungen, die Beeinträchtigung unserer Dienste, die Störung von Produktionssystemen und die Zerstörung von Daten während der Sicherheitstests (einschließlich Denial-of-Service) zu vermeiden;
  • Um mit uns in Kontakt zu treten, können sie uns für einen Erstkontakt gerne telefonisch unter 06202 409 1923, per Formular (hier unten auf der Seite) oder per E-Mail security-ät- hintergrundbewegung.de (bitte keine sensiblen Daten per E-Mail zukommen lassen) kontaktieren.
  • Forschungen nur innerhalb des weiter unten angegebenen Rahmens durchführen;
  • klar und präzise agieren, ein kurzer Proof-of-Concept-Link ist von unschätzbarem Wert;
  • nur mit ihren eigenen Konten oder Testkonten zu Zwecken der Sicherheitsforschung interagieren. Bitte greifen sie nicht auf unsere Daten oder die Daten unserer Benutzer (Kunden) zu und verändern Sie diese nicht ohne die ausdrückliche Erlaubnis des Eigentümers;
  • Informationen über von Ihnen entdeckte Sicherheitslücken vertraulich behandeln, bis wir 90 Tage Zeit hatten, das Problem zu beheben.

Wenn sie diese Richtlinien befolgen, sobald sie uns ein Problem melden, verpflichten wir uns dazu,

  • keine rechtlichen Schritte im Zusammenhang mit ihrer Recherche zu verfolgen oder zu unterstützen. Dies gilt nicht, wenn erkennbar kriminelle oder nachrichtendienstliche Absichten verfolgt werden;
  • ihren Bericht vertraulich zu behandeln und Ihre personenbezogenen Daten nicht ohne ihre Zustimmung an Dritte weitergeben;
  • mit ihnen zusammenzuarbeiten, um das Problem schnell zu verstehen und zu lösen (einschließlich einer ersten Bestätigung ihrer Meldung innerhalb von 72 Stunden nach Einreichung);
  • sofern von ihnen gewünscht, ihren Beitrag auf unserem Leaderboard (VDP Danksagungen) anzuerkennen, wenn sie der erste sind, der das Problem meldet und wir aufgrund des Problems eine Code- oder Konfigurationsänderung vornehmen.

Erwartungshaltung:

Wenn Sie mit uns gemäß dieser Richtlinie arbeiten, können Sie von uns Folgendes erwarten:

  • Mit ihnen zusammenarbeiten, um Ihren Bericht zu verstehen und zu validieren, einschließlich einer zeitnahen ersten Reaktion auf die Einsendung;
  • Daran arbeiten, entdeckte Schwachstellen zeitnah zu beheben; und
  • Ihren Beitrag zur Verbesserung unserer Sicherheit anzuerkennen, wenn Sie der erste sind, der eine eindeutige Schwachstelle meldet, und ihr Bericht eine Code- oder Konfigurationsänderung auslöst.

Eine qualifizierte Schwachstellenmeldung umfasst folgende Punkte (In-Scope Vulnerabilities)

Die hier aufgelisteten Schwachstellen sind ausdrücklich für unser Sicherheitsprogramm geeignet. Jedes Design- oder Implementierungsproblem, das die Vertraulichkeit oder Integrität von Benutzerdaten erheblich beeinträchtigt, fällt wahrscheinlich in den Anwendungsbereich des Programms. Übliche Beispiele sind:

  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Authentication or Authorization Flaws
  • Server-Side Request Forgery (SSRF)
  • Server-Side Template Injection (SSTI)
  • SQL injection (SQLI)
  • XML External Entity (XXE)
  • Remote Code Execution (RCE)
  • Local or Remote File Inclusions
  • Misconfigurations
  • Actively exploitable backdoors
  • Data- and/or Information-Leaks

Während diese Liste unseren primären Fokus für die Sicherheitsforschung darstellt, sind wir an Berichten für alle unsere Software und Abhängigkeiten interessiert, insbesondere wenn sie Auswirkungen auf einigermaßen sensible Benutzerdaten haben.

Dies kann jegliche Open-Source-Bibliotheken, Software oder Komponenten von Drittanbietern beinhalten. Nach unserem Ermessen vergeben wir Belohnungen für Berichte, die nicht in der Liste der In-Scope-Vulnerabilities enthalten sind.

Schwachstellen, die nicht in den Geltungsbereich fallen (Out-of-Scope Vulnerabilities)

Die folgenden Schwachstellen werden als außerhalb des Geltungsbereichs unseres Sicherheitsprogramms betrachtet und werden nicht belohnt:

  • Richtlinien zum Vorhandensein / Fehlen von SPF / DMARC-Einträgen.
  • Passwort-, E-Mail- und Kontorichtlinien, wie z. B. Überprüfung der E-Mail-ID, Ablauf des Reset-Links und Passwortkomplexität.
  • Logout Cross-Site Request Forgery.
  • Angriffe, die physischen Zugriff auf das Gerät eines Benutzers erfordern.
  • Schwachstellen, die von einem potenziellen Opfer verlangen, nicht standardisierte Software zu installieren oder anderweitig aktive Schritte zu unternehmen, um sich angreifbar zu machen.
  • Social Engineering bei unseren Mitarbeitern oder Kunden.
  • Jegliche physischen Versuche gegen unser Eigentum oder unsere Rechenzentren.
  • Vorhandensein von Autovervollständigungs-Attributen in Webformularen.
  • Fehlende Cookie-Flags bei nicht sensiblen Cookies.
  • Jegliche Zugriffe auf Daten, bei denen der anvisierte Benutzer ein gerootetes Mobilgerät verwenden muss.
  • Fehlende Sicherheits-Header (security headers), die nicht direkt zu einer Sicherheitslücke führen.
  • Host-Header-Injektion.
  • Berichte von automatisierten Tools oder Scans, die nicht manuell validiert wurden.
  • Vorhandensein von Bannern oder Versionsinformationen, die nicht mit einer verwundbaren Version korrelieren.
  • UI- und UX-Bugs und Rechtschreibfehler

Grundregeln

Um die Erforschung von Schwachstellen zu fördern und jede Verwechslung zwischen legitimer Forschung und bösartigem Angriff zu vermeiden, bitten wir Sie, in gutem Glauben zu versuchen:

  • Sich an die Regeln zu halten. Dies beinhaltet die Einhaltung dieser Richtlinie und anderer relevanter Vereinbarungen;
  • Melden sie bitte jede Sicherheitslücke, die Sie entdeckt haben, umgehend;
  • Vermeiden sie es, die Privatsphäre anderer zu verletzen, unsere Systeme zu stören, Daten zu zerstören und/oder die Benutzererfahrung zu beeinträchtigen;
  • Verwenden sie nur die offiziellen Kanäle, um Informationen über Sicherheitslücken mit uns zu besprechen;
  • Behandeln sie die Details von entdeckten Sicherheitslücken vertraulich gemäß unserer Offenlegungsrichtlinie;
  • Führen sie Tests nur auf Systemen durch, die in den Geltungsbereich fallen, und respektieren Sie Systeme und Aktivitäten, die außerhalb des Geltungsbereichs liegen;

Wenn eine Sicherheitslücke unbeabsichtigten Zugriff auf Daten ermöglicht:

  • Begrenzen Sie die Menge der Daten, auf die Sie zugreifen, auf das Minimum, das für die effektive Demonstration eines Proof of Concept erforderlich ist; und
  • stellen Sie die Tests ein und reichen Sie sofort einen Bericht ein, wenn Sie während der Tests auf Benutzerdaten wie persönlich identifizierbare Informationen (PII), persönliche Gesundheitsdaten (PHI), Kreditkartendaten oder geschützte Informationen stoßen;
  • Sie sollten nur mit Testkonten interagieren, die Ihnen gehören oder für die sie die ausdrückliche Erlaubnis des Kontoinhabers haben; und
  • lassen Sie sich nicht auf Erpressung ein.

Wie melde ich eine Schwachstelle?

Bitte verwenden sie nachfolgende Kontakt-Vorlage für eine ordentliche Meldung / Dokumentation. Für jeden einzelnen Fall füllen sie bitte ein einzelnes Formular aus.

Das Formular wird PGP-Verschlüsselt in unser Support-Portal übermittelt.

      Betroffenes Produkt, IT-System, Gerät oder betroffener Dienst

      Exploit-Technik

      Authentication Type

      Benutzerinteraktion

      Erklärung zur Problematik und Kontakt

      Ich möchte mit meinem Namen und der Nennung der gefundenen Schwachstelle auf ihrer Danke-Seite aufgeführt werden:

      Felder mit * (Stern) markiert, sind Pflichtfelder. Zur Verarbeitung der Anfrage benötigen wir mindestens die angegebenen Pflichtfelder. Möchten sie anonym bleiben, verwenden sie bitte eine/n Fantasie-Namen und -E-Mail-Adresse. Für diesen Fall bedanken wir uns an dieser Stelle recht herzlich und fügen ihre Meldung unter "Anonyme Eingänge" auf unserer Danke-Seite hinzu.

      Hintergrundbewegung Medien & Entertainment
      bear-feud
      Cookie-Einstellungen ändern