Selbstverständlich liegen uns die Sicherheit und der Schutz unserer Systeme sehr am Herzen, weshalb wir für beides viel in Bewegung setzen. Doch uns ist auch bewusst, dass sich in denen Systemen trotz allem noch Sicherheitslücken verbergen können. Diese Schwachstellen decken wir vorzugsweise so schnell wie möglich auf, um Gegenmaßnahmen zu ergreifen und Lücken schließen können.
Ehrlichkeit, Transparenz und Vertrauen zählen zu unseren Grundwerten. Wenn Sie eine Sicherheitslücke entdeckt haben, arbeiten wir daher gern gemeinsam mit Ihnen daran, sie zu schließen. Unsere Vorgehensweise ist dabei wie folgt.
Die Meldung
Currently we don’t accept new bug/security reports. Please refer to the message in the blue box for an update when we start processing again. Ihre Beobachtungen können Sie uns direkt in der E-Mail schildern, oder wir besprechen gemeinsam eine andere Möglichkeit, um Informationen auszutauschen. Geben Sie bei Ihren Beobachtungen auf jeden Fall die IP-Adresse oder URL des gefährdeten Systems an und beschreiben Sie die gefundene Sicherheitslücke. Meist sind diese Informationen für uns ausreichend, doch es kann vorkommen, dass wir weitere Informationen benötigen.
Was Sie von uns erwarten dürfen
Wir nehmen Meldungen bezüglich der Entdeckung von Sicherheitslücken ernst und arbeiten bei der Behebung gern mit der Person, die sie gemeldet hat, zusammen. Das bedeutet:
- Wir behandeln Ihre Meldung vertraulich und teilen Ihre Daten nicht mit Dritten, außer wir sind gesetzlich dazu verpflichtet. Sicherheitslücken können Sie uns auch anonym oder unter einem Pseudonym melden.
- Sie erhalten von uns innerhalb von 24 Stunden nach Eingang der Meldung eine Empfangsbestätigung.
- Im Anschluss folgt – spätestens drei Werktage nach der Meldung – eine Reaktion auf den Inhalt Ihre Meldung.
- Wir untersuchen die gefundene Sicherheitslücke und prüfen, wie damit umzugehen ist. Es kommt vor, dass wir bestimmte Schwachstellen akzeptieren, sofern diese für uns kein oder nur ein geringes Risiko bedeuten.
- Unsere Devise lautet, Sicherheitslücken schnellstmöglich zu beheben. Unser Ziel dabei ist es, Software-Sicherheitslücken innerhalb von maximal 60 Tagen und Hardware-Sicherheitslücken innerhalb von maximal 6 Monaten zu schließen.
- Wir halten Sie über den Fortschritt bei der Prüfung und Behebung auf dem Laufenden.
- Wenn Sie dies möchten, nennen wir Sie als Entdecker der Sicherheitslücke im Rahmen der öffentlichen Berichterstattung zu dem Problem.
- Als Zeichen unserer Dankbarkeit bieten wir eine Belohnung für das Melden von Sicherheitslücken, die bei uns noch nicht bekannt sind. Die Art der Belohnung hängt vom Ernst der gefundenen Sicherheitslücke, der Qualität der Meldung und der Art der Zusammenarbeit ab. Ihr Wert kann von einer Anerkennung oder einem Dankeschön in den sozialen Medien bis hin zu einer finanziellen Belohnung variieren.
- Bei Inachtnahme der folgenden Vorgaben werden wir keine rechtlichen Schritte (wie eine Anzeige oder Schadensersatz) gegen Sie einleiten.
Vorgaben
Wir vertrauen darauf, dass Sie mit Integrität und Sorgfalt zu Werke gehen. Aus diesem Grund bitten wir Sie darum:
- die Sicherheitslücke nicht für andere Zwecke als die Meldung an uns zu missbrauchen;
- beim Erkunden der Sicherheitslücke nicht mehr Informationen einzusehen, zu verändern oder zu löschen, als erforderlich ist, um die Existenz der Sicherheitslücke nachzuweisen;
- die Sicherheitslücke nicht zu veröffentlichen oder Dritten mitzuteilen, bevor die Schwachstelle behoben ist;
- alle vertraulichen Daten, die Sie mithilfe der Sicherheitslücke erhalten haben, nach Behebung des Problems umgehend zu vernichten;
- gemeinsam mit uns an einer Lösung zu arbeiten, indem Sie uns hinreichende Informationen liefern, um das Problem zu reproduzieren und zu beheben, sowie
- auf den Einsatz von Social Engineering, DDOS-Angriffen, Anwendungen von Dritten und die Verletzung physischer Sicherheitsmaßnahmen zu verzichten.
Zu guter Letzt
Dieses Coordinated Vulnerability Disclosure-Programm (Koordinierte Offenlegung von Schwachstellen) gilt für unsere Website www.provolve.nl / www.easysoftwaredeployment.nl sowie deren untergeordnete, öffentlich zugängliche Subdomains.
Version: 1.0
Dear bug bounty hunters, we appreciate all your efforts in helping us keep our systems safe. However, due to the high volume of bug reports, we will temporarily stop processing new reports. This is to give every report the proper time it needs. Keep an eye on this page to see when we continue to process bug reports again. Thanks for understanding.
Hall of Fame
These people help keep our systems safe:
- Sujay Gaonkar – LinkedIn
- Munimadugu Somasekhar – LinkedIn
- Akshay Parse – LinkedIn
- Alan Roy – LinkedIn
- Aamir Usman khan – LinkedIn
- Nehal Pillai – LinkedIn
- Gourab Sadhukhan – LinkedIn
- Jerbi Nessim – Twitter
- Mohd Asif Khan – Linkedin, Twitter
- Foysal Ahmed Fahim
- Ahmed Salah Abdalhfaz – LinkedIn, Twitter
- Raajesh G – LinkedIn
- Hamza Farooqi – LinkedIn
- Harinder Singh (S1N6H) – LinkedIn