Nach dem Prinzip der koordinierten Offenlegung von Sicherheitslücken (Coordinated Vulnerability Disclosure) melden Forscher*innen neu entdeckte Sicherheitslücken in Hardware, Software und Diensten direkt an die Hersteller der betroffenen Produkte. Die Forscher*innen geben dem/der Anbieter*in die Möglichkeit, eine Diagnose zu stellen und vollständig getestete Updates, Umgehungslösungen oder andere Abhilfemaßnahmen anzubieten, bevor eine Partei detaillierte Informationen über die Schwachstelle oder das Exploit an die Öffentlichkeit weitergibt. Der/die Anbieter*in stimmt sich während der gesamten Untersuchung der Sicherheitslücke mit den Forscher*innen ab und informiert ihn über den Fortschritt des Falls. Nach der Veröffentlichung eines Updates kann der/die Anbieter*in den/die Finder*in für die Recherche und die private Meldung des Problems anerkennen. Wenn Angriffe in freier Wildbahn im Gange sind und der/die Anbieter*in noch am Update arbeitet, arbeiten der/die Forscher*in und der/die Anbieter*in so eng wie möglich zusammen, um die Schwachstelle zum Schutz der Kunden*innen frühzeitig öffentlich zu machen. Das Ziel ist es, die Kunden*innen rechtzeitig und konsistent Hinweise zu geben, damit sie sich schützen können.

Weitere Informationen zu Coordinated Vulnerability Disclosure (CVD) finden Sie unter den folgenden Links:

Wir laden Sie dazu ein, uns dabei zu unterstützen, bestehenden Sicherheitsmaßnahmen zu verstärken und an neue elektronische Bedrohungen anzupassen. Die Sicherheit und der Schutz der vertraulichen Daten sind uns wichtig, und wir nehmen unsere Verantwortung für den Schutz dieser Daten ernst. Wir setzen technische, administrative und physische Kontrollen ein, um diese Daten zu schützen.

Wir möchten von Sicherheitsforschern*innen hören, die Informationen über vermutete Sicherheitsschwachstellen in den von uns bereitgestellten Diensten oder Produkten. Wir schätzen Ihre Arbeit und sind bereit, mit Ihnen zusammenzuarbeiten. Bitte melden Sie uns Sicherheitslücken in Übereinstimmung mit diesem Responsible Disclosure Program. Wir danken Ihnen im Voraus für Ihren Beitrag.

Melden einer Sicherheitslücke

Bitte senden Sie uns Sicherheitslücken, die Sie identifizieren verschlüsselt an die in der security.txt genannten Adressaten. Wenn Sie bei der Untersuchung einer vermuteten Sicherheitslücke personenbezogene Daten entdecken, bitten wir Sie, Ihre Untersuchung einzustellen und die Sicherheitslücke, die zu dieser Entdeckung geführt hat, sofort zu melden.

Der Bericht sollte ausreichende Informationen enthalten, damit wir das Problem überprüfen und reproduzieren können, einschließlich:

  1. Den betroffenen Dienst, wie z. B. die URL, IP-Adresse oder Produktversion.
  2. Eine detaillierte Beschreibung der Sicherheitslücke.
  3. Eine Beschreibung, wie die Sicherheitslücke entdeckt wurde (einschließlich der verwendeten Tools) oder welche Schritte Sie unternommen haben, als Sie auf die Sicherheitslücke gestoßen sind.
  4. Eine Beschreibung der Auswirkungen der Sicherheitslücke und des wahrscheinlichen Angriffsszenarios.
  5. Proof-of-Concept- oder PoC-Code, falls zutreffend; alternativ liefern Sie bitte eine Reproduktionsanleitung, die zeigt, wie die Schwachstelle ausgenutzt werden könnte.
  6. Einen Vorschlag für einen Patch oder eine Abhilfemaßnahme, wenn Sie wissen, wie die Schwachstelle behoben werden kann.

Wenn Sie eine Schwachstelle in Übereinstimmung mit diesem Programm identifizieren, verpflichtet wir uns, mit Ihnen zusammenzuarbeiten, um die Schwachstelle zu verstehen, zu validieren und entsprechend dem bewerteten Risiko zu beheben.

Durch die Übermittlung Ihres Berichts:

  1. Sie erklären sich damit einverstanden, die Schwachstelle nicht öffentlich zu machen, bis einer öffentlichen Bekanntgabe zustimmt wird.
  2. Sie verpflichten sich, jegliche Kommunikation mit mit uns vertraulich zu behandeln.
  3. Sie versichern, dass der Bericht von Ihnen stammt und dass Sie, falls Sie einen Bericht von Dritten einreichen, die Erlaubnis haben, dies zu tun.
  4. Sie räumen uns die uneingeschränkte Möglichkeit ein, die in Ihrem Bericht enthaltenen Informationen zu nutzen, zu verbreiten oder offenzulegen.
  5. Sie erklären sich damit einverstanden, dass wir nach eigenem Ermessen Berichte belohnen oder anerkennen kann, die in Übereinstimmung mit diesem Responsible Disclosure Programm erstellt wurden.

Unsere Erwartungen an Ihre Entdeckung

Wenn Sie erwägen, einen Schwachstellenbericht einzureichen, stimmen Ihre Werte eindeutig mit unseren überein. Sie wissen, wie wichtig Sicherheit ist, und Sie wollen die Daten der Verbraucher*innen schützen. Da wir diese gemeinsame Sichtweise verstehen, möchten wir nicht, dass Sie unnötige Risiken eingehen oder schaffen, um eine Schwachstelle zu entdecken. Während wir Handlungen unterstützen, die in gutem Glauben unternommen werden, um Schwachstellen zu entdecken und zu melden, untersagen wir ausdrücklich jedes der folgenden Verhaltensweisen:

  1. Das Ergreifen von Handlungen, die sich negativ auf uns auswirken.
  2. Das Zurückbehalten von entdeckten personenbezogenen Informationen, egal in welchem Medium. Alle entdeckten persönlich identifizierbaren Informationen müssen dauerhaft zerstört oder von Ihrem Gerät und Speicher gelöscht werden.
  3. Weitergabe von entdeckten persönlich identifizierbaren Informationen an eine dritte Partei.
  4. Zerstörung oder Beschädigung von Daten, Informationen oder der Infrastruktur, einschließlich aller Versuche, dies zu tun.
  5. Entdeckung in Abhängigkeit von Social-Engineering-Techniken jeglicher Art (jede verbale oder schriftliche Interaktion mit Personen, die mit und verbunden sind oder für uns arbeiten).
  6. Jegliche Ausnutzungsaktionen, einschließlich des Zugriffs auf oder des Versuchs des Zugriffs auf Daten oder Informationen von uns, die über das hinausgehen, was für den anfänglichen “Schwachstellennachweis” erforderlich ist. Das bedeutet, dass Ihre Aktionen zur Erlangung und Validierung des Schwachstellennachweises sofort nach dem ersten Zugriff auf die Daten oder ein System beendet werden müssen.
  7. Angriffe auf Dienste von Drittanbietern.
  8. Denial-of-Service-Angriffe oder Distributed-Denial-of-Services-Angriffe.
  9. Jeder Versuch, sich physischen Zugang zu Eigentum oder Rechenzentren von uns zu verschaffen.
  10. Verwendung von Mitteln, die Ihnen nicht gehören oder zu deren Verwendung Sie nicht berechtigt oder lizenziert sind, wenn Sie eine Sicherheitslücke entdecken.
  11. Verletzung von Gesetzen oder Vereinbarungen im Zuge der Entdeckung oder Meldung einer Schwachstelle.

Schwachstellen außerhalb des Anwendungsbereichs

Die folgenden Schwachstellen werden als außerhalb des Geltungsbereichs unseres Programms zur verantwortungsvollen Offenlegung betrachtet:

  1. Schwachstellen, die mit automatisierten Tools (einschließlich Web-Scannern) identifiziert wurden und keinen Proof-of-Concept-Code oder einen demonstrierten Exploit enthalten.
  2. Anwendungen, Websites oder Dienste von Drittanbietern, die integriert sind oder mit ihm verknüpft sind.
  3. Entdeckung eines in Gebrauch befindlichen Dienstes (z. B. anfälliger Code von Drittanbietern), dessen laufende Version bekannte Schwachstellen enthält, ohne dass eine bestehende Sicherheitsauswirkung nachgewiesen wurde.

Wir behalten uns alle Rechte vor, insbesondere in Bezug auf Entdeckungen von Sicherheitslücken, die nicht im Einklang mit diesem Programm stehen. Schwachstellenuntersuchungen und -entdeckungen, die in Übereinstimmung mit diesem Programm gemacht oder gemeldet werden, gelten als konform mit den Online-Nutzungsbedingungen von uns.

HINWEIS: Wir behalten uns das Recht vor, nach eigenem Ermessen die Bedingungen dieser Richtlinien zur verantwortungsvollen Offenlegung zu ändern.

Ruhmeshalle der Sicherheitsforscher*innen

Wir danken all jenen, die uns dabei helfen, unsere Online-Ressourcen in Übereinstimmung mit unserem Responsible Disclosure Program zu sichern und zu schützen. Die folgenden Personen haben sich durch ihre herausragenden persönlichen Beiträge bei der Identifizierung vermuteter Sicherheitsschwachstellen hervorgetan. Wir fühlen uns sehr geehrt, sie in unsere Ruhmeshalle der Sicherheitsforscher*innen aufzunehmen:

2024-03-28
Parth Narula
  • Information Disclosure: IIS Shortname Vulnerability
  • Information Disclosure: Stack Trace exposed on invalid requests
  • X-Site Scripting: Click Jacking