Bounty Hunter & Vulnerabilities

 

Ziel

Unsere Sicherheitsrichtlinie regelt den Umgang mit Berichten über Schwachstellen im Zusammenhang mit unseren öffentlich zugänglichen Websites und Diensten. Sie stellt sicher, dass die Berichte effizient und einheitlich bearbeitet werden. Wir akzeptieren nur qualifizierte Schwachstellen, die den in der Richtlinie festgelegten Kriterien entsprechen. Wir sind für jeden Bericht dankbar und werden ihn weiterverfolgen, wenn er mit unserer Richtlinie übereinstimmt.

Grundsätze unserer Vulnerability Policy

  • Dankbarkeit und Zusammenarbeit: Wir sind dankbar für alle Meldungen, die gemäß unserer Richtlinie eingereicht werden, und schätzen die Zusammenarbeit mit einer Gemeinschaft, die ihr Augenmerk auf Sicherheit legt.
  • Gründliche Überprüfung: Jede Meldung wird sorgfältig geprüft, um ihre Relevanz und potenzielle Auswirkungen zu bewerten.
  • Feedback: Wir stellen sicher, dass die Einreicher qualifizierter Schwachstellen innerhalb eines angemessenen Zeitraums Feedback erhalten.
  • Respekt und Vertraulichkeit: Alle eingereichten Meldungen werden mit gegenseitigem Respekt und vertraulich behandelt.
  • Datenschutz: Bei der Entgegennahme von Berichten werden die geltenden Datenschutzgesetze eingehalten und personenbezogene Daten mit größter Sorgfalt behandelt.
  • Klare Richtlinien: Wir nehmen nur Schwachstellenberichte an, die die in unserer Richtlinie festgelegten Kriterien erfüllen.
  • Förderung der Sicherheit: Unser Ziel ist es, die Sicherheit unserer Systeme kontinuierlich zu verbessern, indem wir gemeldete Schwachstellen beheben.
  • Unparteilichkeit: Alle Berichte werden fair und objektiv behandelt – unabhängig davon, von welcher Person oder Organisation sie eingereicht wurden.

Verhaltensregeln

  • Keine nicht autorisierten Angriffe: Jegliche Form von Angriffen ist strengstens untersagt, insbesondere solche, die unsere Systeme oder Mitarbeiter gefährden.
  • Keine Offenlegung ohne Zustimmung: Schwachstellen dürfen ohne unsere ausdrückliche Genehmigung nicht an Dritte weitergegeben oder veröffentlicht werden.
  • Meldung böswilliger Absichten: Wenn kriminelle oder geheimdienstliche Absichten festgestellt werden, werden diese unverzüglich den zuständigen Behörden gemeldet.

Qualifizierte Schwachstellen

  • Remote Code Execution (RCE): Exploits, die die nicht autorisierte Ausführung von Code auf unseren Systemen ermöglichen.
  • SQL Injection: Schwachstellen, die den nicht autorisierten Zugriff auf Datenbankinhalte oder deren Manipulation ermöglichen.
  • Cross-Site Scripting (XSS): Angriffe, bei denen schädliche Skripte in Webanwendungen eingeschleust werden.
  • Offenlegung interner Informationen: Unbefugter Zugriff auf interne Systeminformationen oder sensible Daten.
  • Unbefugter Zugriff auf Konten: Exploits, die unbefugten Zugriff auf Benutzer- oder Administratorkonten ermöglichen.
  • Konfiguration: Fehlkonfigurationen von Systemen, Netzwerken oder Diensten, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Diensten oder Informationen gefährden.
  • Backdoors: Identifizierung und Ausnutzung möglicher Backdoors.
  • Zero-Day-Exploits: Nachweisliche Möglichkeit, Zero-Day-Exploits auszunutzen.
  • Unsicheres Design/unsichere Implementierung: Nachgewiesener Mangel an Design Control oder schwaches Design Control, das die Integrität, Vertraulichkeit oder Verfügbarkeit von Systemen, Netzwerken oder Diensten beeinträchtigt.
  • Veraltete Software oder Libraries: Veraltete Software, Libraries, Plugins oder Add-ons, die nachweislich die Sicherheit der Dienste oder Software gefährden.
  • Identifizierung und Authentifizierung: Unbefugte erfolgreiche Authentifizierungen oder unbefugter Zugriff, die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen, Systemen oder anderen Teamwire-Entitäten beeinträchtigen.
  • Software- und Datenintegritätsfehler: Software- und Datenintegritätsfehler beziehen sich auf Code und Infrastruktur, die die Integrität nicht vor Verstößen schützen.
  • Server-Side Request Forgery (SSRF): SSRF-Fehler treten auf, wenn eine Webanwendung eine Remote-Ressource abruft, ohne die vom Benutzer angegebene URL zu validieren.

Einreichen von Berichten

Sie können Schwachstellen an unsere Sicherheitsabteilung melden. Alle Berichte sollten folgende Informationen enthalten:

 

  • Eine detaillierte Beschreibung der Schwachstelle.
  • Schritte zur Reproduktion und Ausnutzung der Schwachstelle.
  • Relevante technische Details (Protokolle, Screenshots, Code usw.).
  • Nach erfolgreicher Überprüfung werden nur sichere Anhänge verarbeitet (z. B. allgemeine Textdateien, .txt, .png, .jpg). Archivdateien, ob ausführbar oder nicht, werden nicht verarbeitet.
  • Kontaktinformationen für weitere Fragen.

 

Wir behalten uns das Recht vor, Berichte abzulehnen, die unvollständig oder unklar sind oder gegen diese Richtlinie verstoßen.

 

Alle qualifizierten Berichte können hier eingereicht werden: https://support.teamwire.eu/

Danksagung und Anerkennung

Wir danken allen Personen, die uns bei der Verbesserung der Sicherheit unserer Systeme unterstützen. Ihre Beiträge werden sehr geschätzt und gewürdigt. Mit dieser Richtlinie möchten wir unsere Dankbarkeit zum Ausdruck bringen und gleichzeitig klare und feste Richtlinien für die Zusammenarbeit festlegen.

Schlussbemerkungen

Wir schätzen Ihre Bemühungen, die Sicherheit unserer Systeme zu verbessern, und werden die eingereichten Berichte sorgfältig prüfen, sofern sie die oben genannten Kriterien erfüllen.