Verantwortungsvolle Offenlegungspolitik

Die Informationen auf dieser Seite sind für Sicherheitsforscher gedacht, die dem Transporeon-Sicherheitsteam Sicherheitslücken melden möchten. Wenn Sie ein Kunde sind und eine Frage zur Sicherheit oder ein Passwort- oder Kontoproblem haben, kontaktieren Sie uns bitte über die regulären Supportkanäle.

Transporeon überprüft regelmäßig seine Responsible Disclosure Policy aus rechtlicher und operativer Sicht.

Sicherheit ist einer unserer wichtigsten Werte, und wir schätzen den Beitrag von Sicherheitsforschern, die in gutem Glauben handeln, um uns dabei zu helfen, einen hohen Standard für die Sicherheit und den Datenschutz unserer Nutzer zu wahren. Dazu gehört auch die Förderung einer verantwortungsvollen Suche nach Sicherheitslücken und deren Offenlegung. In dieser Richtlinie wird unsere Definition von Vertrauenswürdigkeit im Zusammenhang mit dem Auffinden und Melden von Schwachstellen dargelegt, und es wird erläutert, wie wir Ihre Meldung behandeln.

Wie Sie uns kontaktieren können

Unser offizieller Kommunikationskanal ist das Formular. Bitte klicken Sie auf die Schaltfläche "Sicherheitslücke melden" und melden Sie das Problem. Die Probleme werden von einem Sicherheitsanalysten bearbeitet, bevor sie an das zuständige Team weitergeleitet werden.

Sicherheitslücke melden

Bitte schreiben Sie Ihren Bericht auf Englisch oder Deutsch und geben Sie uns genügend Informationen, um die Schwachstelle zu reproduzieren. Bitte geben Sie auch Ihre Kontaktinformationen an, damit wir Sie direkt kontaktieren können. Wenn Sie nicht kontaktiert werden möchten, ist das zwar akzeptabel, kann aber unsere Fähigkeit, die Schwachstelle zu untersuchen und zu beheben, beeinträchtigen.

Safe Harbor

Bei der Durchführung von Schwachstellenforschung gemäß dieser Richtlinie gehen wir davon aus, dass diese Forschung autorisiert, rechtmäßig, für die allgemeine Sicherheit des Internets hilfreich und in gutem Glauben durchgeführt wird.

Es wird von Ihnen erwartet, dass Sie sich wie immer an alle geltenden Gesetze halten. Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder sich nicht sicher sind, ob Ihre Sicherheitsforschung mit dieser Richtlinie übereinstimmt, reichen Sie bitte einen Bericht über unseren offiziellen Kanal ein, bevor Sie weitermachen.

Grundregeln

Um die Erforschung von Schwachstellen zu fördern und eine Verwechslung zwischen gutgläubigen Hackern und böswilligen Angriffen zu vermeiden, bitten wir Sie:

  • Halten Sie sich an die Regeln. Dazu gehört die Befolgung dieser Richtlinie sowie aller anderen einschlägigen Vereinbarungen.
  • Verletzen Sie nicht die Privatsphäre anderer, die Vorschriften zum Schutz persönlicher Daten, stören Sie nicht unsere Systeme, zerstören Sie keine Daten und/oder beeinträchtigen Sie nicht die Benutzererfahrung;
  • Führen Sie nur Tests an Systemen durch, die in den Geltungsbereich fallen, und respektieren Sie Systeme und Aktivitäten, die nicht in den Geltungsbereich fallen.
  • Interagieren Sie nur mit Konten oder Geräten, die Ihnen gehören oder für die Sie die ausdrückliche Genehmigung des Eigentümers haben.
  • Sich nach bestem Wissen und Gewissen bemühen, eine Unterbrechung oder Beeinträchtigung unseres Dienstes zu vermeiden.
  • Wenn eine Schwachstelle unbeabsichtigten Zugriff auf Daten ermöglicht, beschränken Sie die Menge der Daten, auf die Sie zugreifen, auf das Minimum, das für die effektive Demonstration eines Proof of Concept erforderlich ist.
  • Brechen Sie den Test ab und erstatten Sie sofort Bericht, wenn Sie während des Tests auf Benutzerdaten stoßen, z.B. personenbezogene Daten, persönliche Gesundheitsdaten, Kreditkartendaten oder geschützte Informationen.
  • Versuchen Sie nicht, sich physischen Zugang zu Transporeon-Eigentum oder Rechenzentren zu verschaffen.
  • Versuchen Sie nicht, Denial-of-Service-Angriffe durchzuführen.
  • Social Engineering (z.B. Phishing, Vishing, Smishing) ist verboten.
  • Melden Sie jede Schwachstelle, die Sie entdeckt haben, unverzüglich.
  • Um eine Erpressung bzw. den Anschein einer Erpressung auszuschließen, sollten Sie keine finanziellen Forderungen stellen, bevor Sie nicht die Details der Schwachstelle offen gelegt haben.
  • Verwenden Sie nur die offiziellen Kanäle, um Informationen über Sicherheitsrisiken mit uns zu besprechen.

Offenlegung

Sie dürfen Schwachstellen nicht öffentlich diskutieren oder veröffentlichen, bevor sie behoben sind und Sie von uns die ausdrückliche Erlaubnis dazu erhalten haben.

Umfang

Diese Richtlinie gilt für alle Dienstleistungen, Produkte oder Web-Eigenschaften von Transporeon.

Bitte beachten Sie! Die meisten Meldungen, die wir erhalten, haben nur geringe oder gar keine Auswirkungen auf die Sicherheit oder sind bereits bekannt. Um eine enttäuschende Erfahrung bei der Kontaktaufnahme mit uns zu vermeiden, nehmen Sie sich bitte einen Moment Zeit und überlegen Sie, ob das Problem, das Sie melden möchten, ein realistisches Angriffsszenario darstellt.

Insbesondere bitten wir Sie, keine Probleme zu melden, die Folgendes betreffen:

  • Theoretische Schwachstellen ohne jeglichen Beweis oder Nachweis für das tatsächliche Vorhandensein der Schwachstelle.
  • Erkenntnisse aus automatisierten Werkzeugen, ohne einen Proof of Concept zu liefern.
  • Schwachstellen, die MITM oder physischen Zugriff auf den Browser eines Benutzers, ein Smartphone oder ein E-Mail-Konto erfordern, sowie Probleme bei gerooteten oder jailbroken Smartphones.
  • Fehlende oder unzureichende sicherheitsrelevante HTTP-Header.
  • Offenlegung nicht sensibler Daten, z.B. Serverversionsbanner.
  • Probleme mit Content-Spoofing und Textinjektion, ohne dass ein Angriffsvektor angezeigt wird/ohne dass HTML/CSS verändert werden kann.
  • Cross-Site Request Forgery (CSRF) auf nicht authentifizierten Formularen oder Formularen ohne sensible Aktionen.
  • Selbst-XSS.
  • Fehlende bewährte E-Mail-Verfahren (ungültige, unvollständige oder fehlende SPF/DKIM/DMARC-Einträge usw.).
  • Host-Header-Injection, es sei denn, Sie haben bestätigt, dass dies in einem praktischen Angriff ausgenutzt werden kann.
  • Bisher bekannte anfällige Software oder Bibliotheken ohne funktionierenden Proof of Concept.
  • Probleme mit der Ratenbegrenzung oder Bruteforce auf nicht authentifizierten Endpunkten.
  • Verweigerung von Diensten.
  • CSV/Formel-Injektion.
  • Flash-basierte Exploits.
  • Clickjacking auf Seiten ohne sensible Aktionen.

Maßnahmen, die Sie von uns erwarten können:

Wenn Sie mit uns im Rahmen dieser Politik zusammenarbeiten, können Sie von uns erwarten, dass wir:

  • Erweitern Sie Safe Harbor für Ihre Schwachstellenforschung, die im Einklang mit dieser Richtlinie durchgeführt wird;
  • Melden Sie jede Schwachstelle, die Sie entdeckt haben, unverzüglich;
  • Wir arbeiten mit Ihnen zusammen, um Ihren Bericht zu verstehen und zu validieren, und geben Ihnen innerhalb eines angemessenen Zeitrahmens eine erste Antwort auf Ihren Bericht;
  • Sie arbeiten daran, entdeckte Schwachstellen rechtzeitig zu beheben;
  • Sie benachrichtigen, wenn die Schwachstelle behoben ist, so dass sie erneut getestet und als behoben bestätigt werden kann.

Transporeon schätzt die Bemühungen von Sicherheitsforschern, Schwachstellen zu identifizieren und mit uns zusammenzuarbeiten, um die Sicherheit unserer Kunden zu gewährleisten. Wir sind Ihnen dankbar, dass Sie Ihr Bestes tun, um die Sicherheit unserer Produkte und der Internetgemeinschaft insgesamt zu verbessern.