Responsible Disclosure Programm – Wir nehmen Sicherheit ernst

 Responsible Disclosure Program

Um zu verhindern, dass identifizierte Sicherheitslücken durch Angreifer ausgenutzt werden können, empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Anwendung des „Responsible Disclosure“ (Verantwortungsvolle Offenlegung) Prinzips.

Die Anwendung dieses Prinzips garantiert eine koordinierte und auf Vertrauen basierende Zusammenarbeit zwischen dem Entdecker der Sicherheitslücke und dem betroffenen Hersteller oder Dienstleister.

Wenn Sie eine potenzielle Sicherheitslücke entdeckt haben oder glauben, eine Sicherheitslücke entdeckt zu haben, empfehlen wir, diese gemäß diesem Programm offenzulegen.

Wir werden mit Ihnen zusammenarbeiten, um Sicherheitslücken, die Sie uns melden, zu validieren und darauf zu reagieren. Da die öffentliche Offenlegung einer Sicherheitslücke die gesamte bonify-Community gefährden könnte, verlangen wir, dass Sie solche potenziellen Sicherheitslücken vertraulich behandeln, bis wir sie beheben können.

Wir werden keine rechtlichen Schritte gegen Sie einleiten oder Ihren Zugang zu bonify-Diensten aussetzen oder beenden, sofern Sie Sicherheitslücken in Übereinstimmung mit diesem Programm entdecken und melden. bonify behält sich bei Nichteinhaltung alle seine gesetzlichen Rechte vor.

 Aufdecken von Sicherheitslücken

Bitte lesen Sie dies sorgfältig durch, um sicherzustellen, dass Sie sowohl die zulässigen als auch die unzulässigen Methoden zur Ermittlung verstehen. bonify behält sich bei Nichteinhaltung alle seine gesetzlichen Rechte vor.

Wir fördern eine verantwortungsvolle Sicherheitsforschung auf der bonify-Webseite – bonify.de, allen Subdomains und anderen Webdiensten, Apps und eigenständigen Softwarebibliotheken. Wir ermöglichen Ihnen die Durchführung von Schwachstellenrecherchen und -tests in den Diensten, auf die Sie autorisierten Zugriff haben.

In keinem Fall dürfen Ihre Forschungen und Tests Folgendes beinhalten:

Zugriff auf Konten oder Daten, die nicht Ihnen gehören, oder der Versuch darauf zuzugreifen, bei der Untersuchung eines Problems oder eines Problems, das zu einer Sicherheitslücke führt, zielen Sie bitte immer nur auf Ihre eigenen Konten und Daten. Versuchen Sie niemals, auf die Daten anderer Personen zuzugreifen und unternehmen Sie keine Aktivitäten, die bonify stören oder schädigen könnten. Verletzen Sie nicht die Privatsphäre unserer Benutzer und Partner.

Versuche Daten zu ändern oder zu zerstören,

Ausführungen oder versuchte Ausführung eines Denial-of-Service-Angriffs, ob beabsichtigt oder unbeabsichtigt,

Senden oder das versuchte Senden von unaufgeforderten oder nicht autorisierten E-Mails, Spam oder anderen Formen von unaufgeforderten Nachrichten,

Testen von Websites, Anwendungen oder Diensten von Drittanbietern, die in die bonify-Dienste oder selbst gehostete Dienste integriert sind,

Posten, Übertragen, Hochladen, Verlinken, Senden oder Speichern von Malware, Viren oder ähnlicher schädlicher Software oder anderweitiger Versuche, bonify-Dienste oder andere bonify-Webdienste, einschließlich der bonify-Website, zu unterbrechen oder zu degradieren, und

jede Aktivität, die gegen geltendes Recht verstößt.

Bitte nehmen Sie sich die Zeit, jeden der oben genannten Punkte zu lesen und zu verstehen. Falls Sie keine ausreichende Klarheit über die Methode Ihrer Entdeckung haben, erkundigen Sie sich bitte, bevor Sie fortfahren, um die Einhaltung sicherzustellen.

 Eine Schwachstelle melden

Wir empfehlen jedem, der glaubt, eine Sicherheitslücke in unserer Website, Cloud oder anderen Webdiensten gefunden zu haben, das Problem verantwortungsbewusst offenzulegen.

Wenn Sie bonify dazu bringen können, etwas zu tun, was es nicht tun soll, was dazu führt, dass es die Datenintegrität, Verfügbarkeit, Informationen verliert oder unbefugten Zugriff auf APIs oder Daten gewährt, dann haben Sie eine Schwachstelle gefunden und wir möchten darüber so schnell wie möglich Bescheid wissen. Bitte lesen und befolgen Sie diese einfachen Regeln, bevor Sie Ihre Offenlegung einreichen.

Bitte tun Sie diese Dinge, es wird uns beiden dienen:

Lesen Sie den Abschnitt „Aufdecken von Sicherheitslücken“ oben sorgfältig durch.

Senden Sie Ihre Offenlegung an security@bonify.de.

Halten Sie alle Informationen über identifizierte Schwachstellen und ausnutzbare Schwachstellen vertraulich zwischen Ihnen und bonify.

Geben Sie ein gültiges Angriffsszenario an. Bitte legen Sie ausreichende Nachweise bei (z. B. kurzer Proof of Concept).

Bitte geben Sie alle Informationen in Englisch oder Deutsch an, sodass wir sie bearbeiten können.

Fügen Sie eine klare Beschreibung der Schwachstelle, ihrer Funktionsweise und der Auswirkungen des Exploits bei.

Fügen Sie ein funktionierendes Beispiel oder eine umfangreiche Dokumentation hinzu. Screenshots oder Videos können unterstützende Beweise liefern, sind jedoch allein nicht ausreichend. Je mehr Details, desto besser.

Beweisen Sie, dass die gemeldete Sicherheitsanfälligkeit ausgenutzt werden kann.

Stellen Sie sicher, dass Ihre Ansprüche korrekt und gültig sind. Jeder Anspruch sollte durch die dokumentierten Schritte zum Neuaufbau unterstützt werden.

Bitte tun Sie diese Dinge nicht, es wird keinem von uns helfen:

Fordern Sie keine Statusaktualisierungen für vorhandene Einreichungen an.

Bitten Sie nicht um Lösegeld oder Kopfgeld.

Senden Sie keinen Link zu einer bewährten Methode, es sei denn, Sie können einen praktikablen Exploit demonstrieren, der durch den verlinkten Inhalt gelöst werden könnte.

Kein Offenlegen einer Sicherheitslücke, die in einem Drittanbieter-Tool oder -Produkt gefunden wurde. Wenn Sie eine Schwachstelle in einem von uns verwendeten Drittanbieterprodukt identifiziert haben, teilen Sie dies bitte zuerst dem Produktinhaber mit. Wir würden uns trotzdem freuen, wenn Sie uns Bescheid geben, aber wir können Ihnen in diesem Szenario kein Kopfgeld anbieten.

Es kann etwas dauern, den Bericht und die Schwachstelle zu überprüfen. Wenn Ihr Bericht nicht den Richtlinien für die Einreichung entspricht oder eine Schwachstelle nicht hinreichend nachweist, wird der Bericht abgelehnt.

In den meisten Fällen antwortet das bonify-Sicherheitsteam, wenn ein Bericht abgelehnt wird, und bittet um zusätzliche Erläuterungen oder Beweise. Wenn jedoch klar ist, dass der Berichterstatter keinen angemessenen Zeitraum investiert hat, um die Einreichungsrichtlinien zu befolgen, wird keine Antwort angeboten. Wir schätzen Ihre Zeit und Mühe und bitten Sie, dasselbe für uns zu tun.

Sobald wir feststellen, dass eine Meldung eine echte Schwachstelle identifiziert hat, können Sie davon ausgehen, dass wir Sie darüber informieren, dass wir Ihre Meldung akzeptiert haben.

Wir behalten uns das Recht vor, Aktualisierungen, Änderungen oder Ergänzungen dieses Responsible Disclosure Programms jederzeit ohne Vorankündigung und unaufgefordert vorzunehmen.

Stand: Mai 2024