Bug Bounty — Schwachstelle melden
NEXGAP nimmt Sicherheit sehr ernst und untersucht alle gemeldeten Schwachstellen über unser Bug Bounty. Auf
dieser Seite wird unser Umgang mit potenziellen Schwachstellen in allen Aspekten unserer Produkte und Services beschrieben. Senden Sie uns eine E-Mail an
security@nexgap.com, falls Sie eine Schwachstelle entdeckt haben. Bitte beachten Sie, dass Sie den Inhalt der E-Mail mit unserem öffentlichen
PGP-Schlüssel verschlüsseln können.
Informationen, die Sie im Rahmen dieser Vorgehensweise an NEXGAP weitergeben, werden innerhalb von NEXGAP vertraulich behandelt. NEXGAP gibt diese Informationen nur Ann Dritte weiter, wenn festgestellt wird, dass die von Ihnen gemeldete Sicherheitsanfälligkeit ein Produkt eines Drittanbieters betrifft. In diesem Fall geben wir diese Informationen an den Autor oder Hersteller des Drittanbieterprodukts weiter. Andernfalls gibt NEXGAP diese Informationen nur wie von Ihnen erlaubt weiter.
Die folgenden Richtlinien zur verantwortungsvollen Offenlegung von Schwachstellen beschreiben das freiwillige Programm, durch das NEXGAP mit Parteien zusammenarbeitet, die potenzielle Sicherheitsschwachstellen identifizieren. Diese Richtlinien bieten eine Anleitung zur Identifizierung sowie der Übermittlung von Informationen über potenzielle Risiken und gelten nur für den zuvor beschriebenen Zweck.
1. Richtlinien
Kunden vertrauen darauf, dass wir ihnen dabei helfen, eines ihrer wichtigsten Güter, und zwar die Infrastruktur vor möglichen Kompromittierungen zu schützen, indem wir mit geprüften und zertifizierten Hackern zusammenarbeiten. Unsere Arbeit basiert hauptsächlich auf Vertrauen — dieses Vertrauen muss durch Transparenz, Sicherheit, Datenschutz sowie durch die Einhaltung von Richtlinien verdient werden.
Ein qualitativ hochwertiger Bericht ist wichtig, damit wir schnellstmöglich die betroffene Schwachstelle bestätigen und beheben können. Machen Sie sich bitte mit den Richtlinien bekannt, bevor Sie uns kontaktieren.
—Ein vollständiger Bericht enthält
·
Eine ausführliche Beschreibung eines oder mehrere Schwachstellen sowie das Resultat, welches Sie durch das Ausnutzen eines Exploits und oder anderen Werkzeugen, festgestellt haben,
·
Eine nummerierte Liste der Schritte, die erforderlich sind, um dieses Problem zu reproduzieren,
·
Ein zuverlässiger und funktionierender Exploit für das von Ihnen gemeldete Problem (wir akzeptieren kein PoC),
·
Ihre Kontaktdaten (E-Mail-Adresse, XMPP oder andere Kontaktmöglichkeiten),
Wir empfehlen dringend, einen funktionierenden Exploit anstelle eines PoC beizufügen. Wir akzeptieren Berichte ohne diese Information, jedoch wären Berichte mit mehr Details sinnvoll. Wenn Ihre Meldung nicht die erforderlichen Informationen enthält, die es uns ermöglichen, das Problem zu reproduzieren, können wir Ihrer Meldung möglicherweise nicht nachkommen.
—Rahmenbedingungen für unser Bug Bounty
·
Wir bieten eine Vergütung in Höhe von bis zu 5.000 EUR als Gegenleistung für Informationen und Meldungen über Schwachstellen im Rahmen dieses Programms zur verantwortungsvollen Offenlegung von Schwachstellen. Die Höhe der Auszahlung hängt beispielsweise von der Kritikalität der Schwachstelle ab,
·
Wir können uns dazu entschließen, mit Personen, die sich nicht identifizieren möchten, den Kontakt zu verweigern oder anderweitig mit ihnen zu interagieren.
Für Parteien, die im guten Glauben eine Schwachstelle gemeldet haben und mit Übereinstimmung mit diesen Richtlinien sind, wird NEXGAP keine Strafverfolgungs- oder Zivilprozesse im Zusammenhang mit diesen Aktivitäten einleiten oder empfehlen und im Falle einer Strafverfolgung oder eines Zivilprozesses, der von einer anderen Person als NEXGAP angestrengt wird, wird NEXGAP angemessene Schritte unternehmen, um bekannt zu machen, dass diese Aktivitäten gemäß und in Übereinstimmung mit diesen Richtlinien durchgeführt wurden.
—Welche Aktivitäten wir untersagen
NEXGAP autorisiert, erlaubt oder gestattet (ausdrücklich oder stillschweigend) niemandem, sich an illegalen Aktivitäten zu beteiligen. Wenn Sie sich an Aktivitäten beteiligen, die mit diesen Richtlinien oder mit geltendem Recht unvereinbar sind, können Sie u.a. haftbar gemacht werden.
·
Benutzer, die Aktivitäten durchführen, die den Richtlinien unterliegen, dürfen keinen Schaden anrichten, einschließlich, aber nicht beschränkt auf das Ausnutzen von Sicherheitslücken, die über den minimalen Aufwand hinausgehen, der erforderlich ist, um das Vorhandensein einer potenziellen Schwachstelle nachzuweisen, die Beeinträchtigung der Privatsphäre oder der Sicherheit von NEXGAP-Mitarbeitern, NEXGAP-Kunden oder Dritten, die absichtliche Beeinträchtigung des geistigen Eigentums oder anderer kommerzieller oder finanzieller Interessen von NEXGAP, das Veröffentlichen, Übertragen, Hochladen, Senden, Ausführen oder Speichern von bösartiger Software in unseren Systemen.
2. Analyse der gemeldeten Schwachstelle
NEXGAP hat sich verpflichtet, schnell zu antworten und Sie über unsere Fortschritte bei der Untersuchung bzw. Behebung Ihres gemeldeten Sicherheitsproblems laufend zu informieren. Innerhalb von 24 Stunden erhalten Sie eine nicht automatisierte Antwort auf Ihre erste Kontaktanfrage, in welcher der Empfang Ihrer gemeldeten Schwachstelle bestätigt wird. Mindestens alle fünf Geschäftstage erhalten Sie eine Statusaktualisierung.
3. Öffentliche Bekanntgabe
Sofern zutreffend, koordiniert NEXGAP die öffentliche Bekanntgabe einer bestätigten Schwachstelle mit Ihnen. Wir ziehen es nach Möglichkeit vor, dass unsere jeweiligen öffentlichen Bekanntgaben gleichzeitig veröffentlicht werden.
Zum Schutz unserer Kunden bittet NEXGAP Sie, keine Informationen zu einer potenziellen Schwachstelle zu veröffentlichen, bis wir die gemeldete Schwachstelle untersucht, darauf reagiert, uns ihrer angenommen und Kunden bei Bedarf informiert haben. Außerdem bitten wir Sie höflich, keine Daten zu veröffentlichen oder mit anderen zu teilen, die unseren Kunden gehören. Das Beheben einer gültigen gemeldeten Schwachstelle dauert einige Zeit, und der Zeitplan hängt vom Schweregrad der Schwachstelle und von den betroffenen Systemen ab.
NEXGAP macht öffentliche Bekanntgaben in Form von Sicherheitsberichten, die im NEXGAP-Sicherheitszentrum veröffentlicht werden. Einzelpersonen, Unternehmen und Sicherheitsteams veröffentlichen ihre Ratschläge zumeist auf ihren eigenen Websites oder in anderen Foren. Sofern relevant, fügen wir in NEXGAP-Sicherheitsberichten Links zu den Ressourcen von Dritten hinzu.
4. Verpflichtet zur Verschwiegenheit gemäß unserer Richtlinie
Nach Eingang des Berichts macht sich NEXGAP an die Prüfung der gemeldeten Schwachstelle. Falls weitere Informationen bei der Bestätigung oder Reproduktion des Problems benötigt werden, wendet sich NEXGAP zwecks Unterstützung an Sie. Nach Abschluss der Untersuchung erhalten Sie die Ergebnisse, zu denen ein Plan zur Behebung gehört. Außerdem erfolgt eine Besprechung der öffentlichen Bekanntgabe.