Richtlinie für verantwortungsvolle Offenlegungen

Einleitung

Die Grey Group (“Wir”, “Uns”, “Unser”) schätzt und würdigt die Identifizierung und Meldung von Sicherheitslücken seitens wohlmeinender und ethisch motivierter Sicherheitsforscher (“Sie”).

Diese Richtlinie zur Offenlegung von Sicherheitslücken gilt für alle Schwachstellen, die Sie uns zu melden gedenken. Wir empfehlen Ihnen, diese Richtlinie zur Offenlegung von Sicherheitslücken vor der Meldung einer Schwachstelle vollständig zu lesen und sie stets zu befolgen.

Wir bieten kein Bug-Bounty-Programm oder finanzielle Belohnungen für verantwortungsvolle Meldungen an und Vergütungsanforderungen werden nicht als konform mit dieser Richtlinie für verantwortungsvolle Offenlegungen erachtet.

Berichterstattung

Wenn Sie glauben, eine Sicherheitslücke gefunden zu haben, senden Sie uns bitte Ihre Meldung an die folgende E-Mail-Adresse: [email protected]

Ihre Meldung sollte folgende Angaben enthalten:

Die Website, Domain, IP oder Seite, auf der die Sicherheitslücke beobachtet werden kann.

Schritte zur Reproduktion, wobei es sich um einen gutartigen, nicht destruktiven Proof of Concept handeln sollte. Dies trägt dazu bei, dass die Meldung schnell und genau bearbeitet werden kann.

Wenn Sie Bedenken oder Fragen bezüglich der Berichterstattung haben, wenden Sie sich bitte per E-Mail an [email protected]], um Rat zu erhalten.

Was Sie erwarten können

Wir sind bestrebt, den Eingang Ihrer Sicherheitslückenmeldung innerhalb von 5 Arbeitstagen zu bestätigen und Ihre Meldung innerhalb von 10 Arbeitstagen zu bearbeiten. Wir werden Sie auch über den Fortschritt und die Ausführung von Abhilfemaßnahmen auf dem Laufenden halten. Gegebenenfalls setzen wir uns mit Ihnen in Verbindung, falls wir weitere Informationen zu Ihrer Meldung benötigen.

Die Behebung der gemeldeten Sicherheitslücken wird auf der Grundlage ihrer Auswirkungen, ihres Schweregrads sowie ihrer Exploit-Komplexität bewertet. Die Sichtung und Behebung von Sicherheitslücken kann einige Zeit in Anspruch nehmen. Sie können sich gerne nach dem Status erkundigen, wir bitten Sie jedoch, dies nicht öfter als einmal alle 14 Tage zu tun, damit sich unsere Teams auf die Problemlösung konzentrieren können.

Leitlinien

Sie dürfen NICHT:

Gegen geltende Gesetze oder Vorschriften verstoßen.
In unseren Systemen oder Diensten auf unnötige, übermäßige oder erhebliche Datenmengen zugreifen oder Veränderung von Daten vornehmen.
Unsere Dienste oder Systeme stören, invasive oder zerstörerische Scan-Tools mit hoher Intensität verwenden, um Sicherheitslücken zu finden oder irgendeine Form der Dienstverweigerung hervorrufen.
Meldungen über nicht auswertbare Sicherheitslücken oder Meldungen, die darauf hinweisen, dass die Dienste nicht vollständig den “Best Practices”entsprechen, z. B. fehlende Sicherheits-Header, übermitteln.
Meldungen einreichen, die Sicherheitslücken in der TLS-Konfiguration aufzeigen, z. B. “schwache” Cipher-Suite-Unterstützung oder das Vorhandensein von TLS1.0-Unterstützung.
Social Engineering, ‘Phishing’ oder physische Angriffe auf unser Personal oder unsere Infrastruktur unternehmen.
Eine finanzielle Entschädigung für die Offenlegung von Sicherheitslücken verlangen.

Sie müssen:

Stets die Datenschutzbestimmungen einhalten und dürfen den Datenschutz unserer Nutzer, Mitarbeiter, Auftragnehmer, Dienste oder Systeme nicht verletzen. Sie dürfen z. B. die von den Systemen oder Diensten abgerufenen Daten nicht weitergeben, weiterverteilen oder es versäumen, sie ordnungsgemäß zu sichern.
Alle im Rahmen Ihrer Nachforschungen abgerufenen Daten sicher löschen, sobald sie nicht mehr benötigt werden oder innerhalb eines Monats nach Behebung der Sicherheitslücke, je nachdem, was zuerst eintritt (oder wie es das Datenschutzrecht vorschreibt).

Rechtliche Hinweise

Diese Richtlinie ist so konzipiert, dass sie mit den üblichen bewährten Verfahren zur Meldung von Sicherheitslücken vereinbar ist. Sie berechtigt Sie nicht zu Handlungen, die mit dem Gesetz unvereinbar sind oder die dazu führen könnten, dass wir gegen rechtliche Verpflichtungen verstoßen.