1. Einleitung
Bei der Entdeckung von Sicherheitslücken, die im Rahmen unserer Softwareentwicklung übersehen wurden, spielen Sicherheitsexperten eine wichtige Rolle. Wir sind der festen Überzeugung, dass die enge Kooperation mit Sicherheitsexperten unseren Kunden mehr Sicherheit bietet. Eine geplante, koordinierte Aufdeckung von Sicherheitslücken bildet die Grundlage unseres Handelns und der von uns angestrebten Interaktion mit Experten. Wir entwickeln das Bug-Bounty-Programm von dogado zum Schutz unserer Kunden und des allgemeinen Ökosystems von dogado. Wir legen großen Wert darauf, dass uns Sicherheitsexperten mit ihrer Expertise, Zeit und Kooperationsbereitschaft bei der Erreichung dieser Ziele unterstützen. Daher gewähren wir Sicherheitsexperten Belohnungen in bar, wenn sie für unsere Prämienprogramme relevante Ergebnisse vorlegen. In unseren regelmäßigen Publikationen berichten wir über die Behebung von Sicherheitsmängeln und würdigen Beiträge zu einem besseren Schutz.
Ergebnisorientierte Beiträge können eingereicht werden unter:
2. Beiträge
Beiträge, die gut formulierte Beschreibungen, Folgeabschätzungen und Schritte zur Reproduktion Ihres Proof-of-Concept-Code enthalten, berechtigen zu höheren Auszahlungen als Stapelspeicherauszüge oder Beiträge ohne konkrete Auswirkungen.
Wir bitten Sie um Einhaltung des folgenden Einreichungsverfahrens.
Bei der Feststellung einer Sicherheitslücke wenden Sie sich bitte privat unter folgender E-Mail-Adresse an uns: bugbounty@group.one.
Arbeiten Sie mit uns zusammen, bis wir eine Lösung gefunden haben. Wir werden uns bemühen, schnellstmöglich auf Ihre Eingabe zu antworten und den Fehler zu beheben.
Für diese partnerschaftliche Kooperation gewähren wir Prämienzahlungen.
Wenn wir entschieden haben, dass Ihr Beitrag nach den geltenden Bedingungen dieses Dokuments zu einer Prämie berechtigt, teilen wir Ihnen die Höhe der Prämie mit und senden Ihnen die für die Abwicklung der Zahlung nötigen Unterlagen zu. Wenn Sie keine Prämie erhalten möchten, können Sie auf die Zahlung verzichten.
Die Beiträge müssen auf folgende Punkte eingehen: Art des Problems, betroffener Service, schrittweise Anleitung zur Reproduktion des Problems, Auswirkung des Problems
3. Regeln des Programms / Verhaltenskodex
Mit der Mitteilung einer Sicherheitslücke willigen Sie in folgende Regeln ein:
Vertraulichkeit von Kundendaten: Eine Sicherheitsforschung kann sich auf Produktionsdienstleistungen beziehen, die auch unsere Kunden nutzen. Wir erwarten, dass die Experten Sorgfalt walten lassen und Datenschutzverletzungen, Datenvernichtung und eine Unterbrechung oder Beeinträchtigung unserer Dienstleistung während ihrer Recherche vermeiden. Stellen Sie Ihre Rechercheaktivitäten unverzüglich ein und kontaktieren Sie uns, wenn Sie Kundendaten entdecken.
Verfügbarkeit des Produktionssystems: Unsere Hosting-Dienstleistungen erfolgen in einem Produktionsumfeld, in dem Kunden sie aktiv nutzen und auf sie angewiesen sind. Recherchen, die die Verfügbarkeit beeinträchtigen, unter anderem eine Dienstleistungsverhinderung (Denial of Service) oder eine hohe Ressourcenauslastung, sind unzulässig. Fragen Sie unser Team bitte nach einer Testumgebung, damit wir negative Auswirkungen auf Produktionssysteme möglichst vermeiden können.
Keine automatisierten Test-Tools: Meist generieren Sicherheitstools viele Informationen. Diese werden auch von unserem Team genutzt. Wir bitten Sie um Verständnis dafür, dass wir elementare Ergebnisse, die mithilfe bekannter Sicherheitstools, insbesondere Scannern erzielt wurden, nicht prämieren.
Kein Social Engineering und keine physischen Angriffe: Wir akzeptieren keine Beiträge, die eine Manipulation von Daten oder der Netzinfrastruktur und/oder physische Angriffe auf physische Einheiten (wie unser Büro oder Datencenter) und/oder Social Engineering von Mitarbeitern, Vertragspartnern oder Kunden erfordern.
Remoteausführung: Bei Sicherheitslücken in der Remotecodeausführung akzeptieren wir keine Eingaben, wenn folgende Funktionen ausgeführt wurden: – – Löschen von Dateien
– Jailbreaks
– Unterbrechung normaler Abläufe (z. B. Auslösung eines Neustarts)
– Schaffung / Aufrechterhaltung ständiger Verbindungen mit den betroffenen Systemen
– Hochladen von Dateien, die beliebige Befehle zulassen (z. B. Web-Shells)
Sicherheitslücken „out-of-Scope“ (außerhalb der Reichweite des Programms):
- Social Engineering und physische Angriffe: Wir akzeptieren keine Beiträge, die eine Manipulation von Daten oder der Netzinfrastruktur und/oder physische Angriffe auf physische Einheiten (wie unser Büro oder Datencenter) und/oder Social Engineering von Mitarbeitern, Vertragspartnern oder Kunden erfordern.
– Enthüllung nichtsensibler Daten
– Sicherheitslücken von Drittanbieter-Bibliotheken ohne besondere Auswirkungen (z. B. CVE mit keinem Exploit)
– Sicherheitslücken, die einen Jailbreak oder stark veränderte Einstellungen erfordern.
Halten Sie sich an Recht und Gesetz: Tun Sie nichts Unrechtmäßiges. Beteiligen Sie sich nicht an Aktivitäten, die Dritten schaden können. Verletzen Sie nicht die Rechte Dritter und helfen Sie Dritten nicht bei Regelverstößen.
Persönliche Daten: Wir betrachten die Sicherheitsexperten als unsere Partner. Um Zahlungen an Sie tätigen zu können, benötigen wir Ihre persönlichen Daten. Bitte machen Sie sie uns zugänglich.
Teilnahmeberechtigung: Um in den Genuss einer Prämie kommen zu können, müssen sie alle nachfolgend genannten Bedingungen erfüllen:
– Sie müssen mindestens 18 Jahre alt sein. Wenn Sie jünger als 18 sind, müssen Sie vor der Teilnahme die Erlaubnis eines Elternteils oder Ihres Vormunds einholen.
– Sie sind in Eigenregie als Sicherheitsforscher tätig oder arbeiten für ein Unternehmen, das Ihnen eine Mitwirkung gestattet.
– Sie sind zurzeit kein Mitarbeiter von dogado oder einer Tochtergesellschaft.
– Sie waren in den vergangenen 6 Monaten kein Mitarbeiter von dogado oder einer Tochtergesellschaft.
– Die Sicherheitslücke kann ohne Zugriff auf das von Mitarbeitern und /oder Anbietern genutzte Unternehmensnetzwerk von dogado missbraucht werden. Wenn Sie diese Regeln verletzen, können Sie aus dem Programm ausgeschlossen werden und Zahlungen für Ihre Eingaben können möglicherweise ausgeschlossen werden.
4. Prämien
Die Feststellung von Sicherheitslücken honorieren wir wie folgt:
Bitte beachten Sie, dass die Prämie von der potenziellen Auswirkung und der Detailgenauigkeit der Beschreibung abhängig ist.
Bereich Prämie (Bandbreite)
1. CloudPit (www.cloudpit.io) bis zu 10.000 Euro
2. Website (www.dogado.de, support.dogado.de) bis zu 2.500 Euro
3. Webhosting 2.0 Anmeldung (inkl. Webhosting-Mail) bis zu 7.500 Euro
4. Webmailer (webmail.cloudpit.io) bis zu 7.500 Euro
Bitte sprechen Sie uns zu Testumgebungen/-plänen an, falls konkrete Angriffsszenarien vorliegen.