Responsible Disclosure Policy

Bei noventive hat die Sicherheit unserer Systeme  höchste Priorität. Aber egal, wie viel Aufwand wir in die Systemsicherheit stecken,  können immer noch Schwachstellen vorhanden sein.

Wenn Sie eine Schwachstelle entdecken, würden wir gerne davon erfahren, damit wir Maßnahmen ergreifen können, um sie so schnell wie möglich zu beheben. Wir möchten Sie bitten, uns dabei zu helfen, unsere Kunden und unsere Systeme besser zu schützen.

Bitte gehen Sie wie folgt vor:

  • Senden Sie Ihre Ergebnisse per E-Mail an security@noventive.com. Verschlüsseln Sie Ihre Ergebnisse mit unserem PGP-Schlüssel, um zu verhindern, dass diese kritischen Informationen in die falschen Hände geraten.
  • Nutzen Sie die Schwachstelle oder das Problem, das Sie entdeckt haben, nicht aus, indem Sie beispielsweise mehr Daten als nötig herunterladen, um die Schwachstelle zu bestätigen, oder die Daten anderer Personen löschen oder ändern.
  • Teilen Sie das Problem nicht anderen mit, bis es gelöst ist,
  • Verwenden Sie keine Angriffe auf die physische Sicherheit, Social Engineering, Distributed Denial of Service, Spam oder Anwendungen Dritter und
  • Geben Sie ausreichende Informationen an, um das Problem zu reproduzieren, damit wir es so schnell wie möglich lösen können. Normalerweise sind die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle ausreichend, aber komplexe Schwachstellen erfordern möglicherweise eine weitere Erklärung.

Was sollte gemeldet werden

Beispiele von Schwachstellen sind:

  • Remote Code execution
  • Cross Site scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • SQL injection
  • Schwächen in der Verschlüsselung
  • Umgehen von Authentifizierung und Autorisierung


Was sollte die Meldung nicht beinhalten

Folgende Punkte bitte nicht melden:

  • Schwachstellen ohne einen ausreichend  beschriebenen Nachweis einer möglichen Ausnutzung
  • (Fehlende) SPF/DKIM/DMARC Einträge
  • Cross Site Request Forgery (CSRF) Schwachstellen auf statischen Seiten (nur Seiten hinter einem Login)
  • Weiterleitungen von HTTP auf HTTPS
  • HTML Charsets
  • Cookie ohne HttpOnly flag
  • Fehlende HTTP Strict Transport Security (HSTS)
  • Clickjacking oder nicht-vorhandene X-Frame Options auf Seiten ohne Login Möglichkeit
  • Die veraltete Version unseres Servers oder der Anwendung eines Drittanbieters ohne dass ein Proof of Concept über die Nutzung dieser Version vorliegt
  • Die Verwendung von unsicheren SSL/TLS ciphers
  • Distributed Denial of Service Angriffe
  • Spam oder Social Engineering Techniken
  • Berichte von Regel-Scans wie beispielsweise Port Scannern

Was wir versprechen:

  • Wir werden Ihre Bericht innerhalb von 3 Werktagen bewerten und mit einem voraussichtlichen Lösungsdatum antworten,
  • Wenn Sie die obigen Anweisungen befolgt haben, werden wir keine rechtlichen Schritte gegen Sie in Bezug auf die Meldung einleiten.
  • Wir werden Ihre Meldung streng vertraulich behandeln und Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben,
  • Wir werden Sie über den Fortschritt bei der Lösung des Problems auf dem Laufenden halten,
  • Bei der Veröffentlichung der gemeldeten Schwachstelle werden wir Sie als Entdecker des Problems (sofern Sie nichts anderes wünschen) nennen und
  • Als Dankeschön für Ihre Mithilfe werden wir für jede Meldung eines uns noch nicht bekannten Sicherheitsproblems ggf. eine Prämie zahlen. Die Höhe der Prämie richtet sich nach der Schwere des Lücke und der Qualität des Berichts.


Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und wir möchten eine aktive Rolle bei der endgültigen Veröffentlichung des Problems nach dessen Lösung spielen.


Dieser Test basiert auf der Vorlage Responsible Disclosure example, verfasst von Floor Terra und publiziert unter der Creative Commons Attribution 3.0 Unported license.

CC-BY Badge
Deutsch
Englisch