Leitlinien
Wir verlangen, dass alle Forscher:
- alle Anstrengungen unternehmen, um Verletzungen der Privatsphäre, Beeinträchtigungen der Benutzerfreundlichkeit, Störungen der Produktionssysteme und die Zerstörung von Daten während der Sicherheitstests zu vermeiden
- Recherchen nur innerhalb des unten angegebenen Bereichs durchführen
- Nutzen Sie die angegebenen Kommunikationskanäle, um uns Informationen über Schwachstellen zu melden.
- Halten Sie Informationen über von Ihnen entdeckte Schwachstellen vertraulich zwischen Ihnen und Weglot, bis wir 30 Tage Zeit haben, das Problem zu beheben.
Wenn Sie diese Richtlinien befolgen, wenn Sie uns ein Problem melden, verpflichten wir uns dazu:
- keine rechtlichen Schritte im Zusammenhang mit Ihrer Forschung zu unternehmen oder zu unterstützen
- Wir arbeiten mit Ihnen zusammen, um das Problem schnell zu verstehen und zu lösen (einschließlich einer ersten Bestätigung Ihres Berichts innerhalb von 72 Stunden nach Einreichung).
- Nehmen Sie Ihren Beitrag in unsere Hall of Fame für Sicherheitsforscher auf (im Aufbau), wenn Sie das Problem als Erster gemeldet haben und wir aufgrund des Problems eine Code- oder Konfigurationsänderung vornehmen.
Umfang
Außerhalb des Geltungsbereichs
Alle Dienste, die von Drittanbietern gehostet werden, sind vom Anwendungsbereich ausgeschlossen. Diese Dienste umfassen:
Im Interesse der Sicherheit unserer Nutzer, unserer Mitarbeiter, des Internets insgesamt und Ihrer Sicherheit sind die folgenden Testtypen vom Anwendungsbereich ausgeschlossen:
- Ergebnisse von physischen Tests, wie z. B. der Zugang zu Büros (z. B. offene Türen, Schwänzen)
- Erkenntnisse, die in erster Linie aus Social Engineering stammen (z. B. Phishing, Vishing)
- Ergebnisse von Anwendungen oder Systemen, die nicht im Abschnitt "Anwendungsbereich" aufgeführt sind
- UI- und UX-Bugs und Rechtschreibfehler
- Denial-of-Service-Schwachstellen (DoS/DDoS) auf Netzwerkebene
Dinge, die wir nicht erhalten wollen:
- Persönlich identifizierbare Informationen (PII)
- Daten des Kreditkarteninhabers
Wie melde ich eine Sicherheitslücke?
Wenn Sie glauben, eine Sicherheitslücke in einem unserer Produkte oder einer unserer Plattformen gefunden zu haben, senden Sie uns bitte eine E-Mail an [email protected].
Bitte fügen Sie Ihrem Bericht die folgenden Angaben bei:
- Beschreibung der Lage und der möglichen Auswirkungen der Schwachstelle
- Eine detaillierte Beschreibung der Schritte, die erforderlich sind, um die Schwachstelle zu reproduzieren (POC-Skripte, Screenshots und komprimierte Bildschirmabzüge sind für uns hilfreich)
- Ihr Name/Handle und ein Link zur Anerkennung in unserer Ruhmeshalle (im Aufbau). Es gibt keine Auszahlung.
Dinge, die wir nicht erhalten wollen:
- Persönlich identifizierbare Informationen (PII)
- Daten des Kreditkarteninhabers
