Bug Bounty Programm

Einleitung

Bei der Entdeckung von Sicherheitslücken, die im Rahmen unserer Softwareentwicklung übersehen wurden, spielen Sicherheitsexperten eine wichtige Rolle. Wir sind der festen Überzeugung, dass die enge Kooperation mit Sicherheitsexperten unseren Kunden mehr Sicherheit bietet. Eine geplante, koordinierte Aufdeckung von Sicherheitslücken bildet die Grundlage unseres Handelns und der von uns angestrebten Interaktion mit Experten. Wir entwickeln das Bug-Bounty-Programm von easyname zum Schutz unserer Kunden und unseres allgemeinen Ökosystems. Wir legen großen Wert darauf, dass uns Sicherheitsexperten mit ihrer Expertise, Zeit und Kooperationsbereitschaft bei der Erreichung dieser Ziele unterstützen. Daher gewähren wir Sicherheitsexperten Belohnungen in bar, wenn sie für unsere Prämienprogramme relevante Ergebnisse vorlegen. In unseren regelmäßigen Publikationen berichten wir über die Behebung von Sicherheitsmängeln und würdigen Beiträge zu einem besseren Schutz.

Ergebnisorientierte Beiträge können eingereicht werden unter: bugbounty[AT]easyname.com

Beiträge

Beiträge, die gut formulierte Beschreibungen, Folgeabschätzungen und Schritte zur Reproduktion deines Proof-of-Concept-Code enthalten, berechtigen zu höheren Auszahlungen als Stapelspeicherauszüge oder Beiträge ohne konkrete Auswirkungen. Wir bitten dich um die Einhaltung des folgenden Einreichungsverfahrens.

  • Bei der Feststellung einer Sicherheitslücke wende dich bitte privat unter folgender E-Mail-Adresse an uns: bugbounty[AT]easyname.com.
  • Arbeite mit uns zusammen, bis wir eine Lösung gefunden haben. Wir werden uns bemühen, schnellstmöglich auf deine Eingabe zu antworten und den Fehler zu beheben.
  • Für diese partnerschaftliche Kooperation gewähren wir Prämienzahlungen.
  • Wenn wir entschieden haben, dass dein Beitrag nach den geltenden Bedingungen dieses Dokuments zu einer Prämie berechtigt, teilen wir dir die Höhe der Prämie mit und senden dir die für die Abwicklung der Zahlung nötigen Unterlagen zu. Wenn du keine Prämie erhalten möchtest, kannst du natürlich auch auf die Zahlung verzichten.
  • Die Beiträge müssen auf folgende Punkte eingehen: Art des Problems, betroffener Service, schrittweise Anleitung zur Reproduktion des Problems, Auswirkung des Problems

Regeln des Programms / Verhaltenskodex

Mit der Mitteilung einer Sicherheitslücke willigest du in folgende Regeln ein:

  • Vertraulichkeit von Kundendaten: Eine Sicherheitsforschung kann sich auf Produktionsdienstleistungen beziehen, die auch unsere Kunden nutzen. Wir erwarten, dass die Experten Sorgfalt walten lassen und Datenschutzverletzungen, Datenvernichtung und eine Unterbrechung oder Beeinträchtigung unserer Dienstleistung während ihrer Recherche vermeiden. Stelle deine Rechercheaktivitäten unverzüglich ein und kontaktiere uns, wenn du Kundendaten entdeckest.
  • Verfügbarkeit des Produktionssystems: Unsere Dienstleistungen erfolgen in einem Produktionsumfeld, in dem Kunden sie aktiv nutzen und auf sie angewiesen sind. Recherchen, die die Verfügbarkeit beeinträchtigen, unter anderem eine Dienstleistungsverhinderung (Denial of Service) oder eine hohe Ressourcenauslastung, sind unzulässig. Frage unser Team bitte nach einer Testumgebung, damit wir negative Auswirkungen auf Produktionssysteme möglichst vermeiden können.
  • Keine automatisierten Test-Tools: Meist generieren Sicherheitstools viele Informationen. Diese werden auch von unserem Team genutzt. Wir bitten dich um Verständnis dafür, dass wir elementare Ergebnisse, die mithilfe bekannter Sicherheitstools, insbesondere Scannern erzielt wurden, nicht prämieren.
  • Kein Social Engineering und keine physischen Angriffe: Wir akzeptieren keine Beiträge, die eine Manipulation von Daten oder der Netzinfrastruktur und/oder physische Angriffe auf physische Einheiten (wie unser Büro oder Datencenter) und/oder Social Engineering von Mitarbeitern, Vertragspartnern oder Kunden erfordern.
  • Remoteausführung: Bei Sicherheitslücken in der Remotecodeausführung akzeptieren wir keine Eingaben, wenn folgende Funktionen ausgeführt wurden:
    • - Löschen von Dateien
    • - Jailbreaks
    • - Unterbrechung normaler Abläufe (z.B. Auslösung eines Neustarts)
    • - Schaffung / Aufrechterhaltung ständiger Verbindungen mit den betroffenen Systemen
    • - Hochladen von Dateien, die beliebige Befehle zulassen (z.B. Web-Shells)
  • Sicherheitslücken „out-of-Scope“ (außerhalb der Reichweite des Programms):
    • - Enthüllung nichtsensibler Daten
    • - Sicherheitslücken von Drittanbieter-Bibliotheken ohne besondere Auswirkungen (z.B. CVE mit keinem Exploit)
    • - Sicherheitslücken, die einen Jailbreak oder stark veränderte Einstellungen erfordern.
  • Halte dich an Recht und Gesetz: Tue nichts Unrechtmäßiges. Beteilige dich nicht an Aktivitäten, die Dritten schaden können. Verletze nicht die Rechte Dritter und unterstütze Dritte nicht bei Regelverstößen.
  • Persönliche Daten: Wir betrachten die Sicherheitsexperten als unsere Partner. Um Zahlungen an dich tätigen zu können, benötigen wir deine persönlichen Daten. Bitte mache sie uns zugänglich.
  • Teilnahmeberechtigung: Um in den Genuss einer Prämie kommen zu können, musst du alle nachfolgend genannten Bedingungen erfüllen:
    • - Du musst mindestens 18 Jahre alt sein. Wenn du jünger als 18 Jahre bist, musst du vor der Teilnahme die Erlaubnis eines Elternteils oder deines gesetzlichen Vormundes einholen.
    • - Du bist in Eigenregie als Sicherheitsforscher tätig oder arbeitest für ein Unternehmen, das dir eine Mitwirkung gestattet.
    • - Du bist zurzeit kein Mitarbeiter von easyname oder unserer Unternehmensgruppe.
    • - Du warst in den vergangenen 6 Monaten kein Mitarbeiter von easyname oder unserer Unternehmensgruppe.
    • - Die Sicherheitslücke kann ohne Zugriff auf das von Mitarbeitern und /oder Anbietern genutzte Unternehmensnetzwerk von easyname missbraucht werden.

Wenn du diese Regeln verletzt, kannst du aus dem Programm ausgeschlossen werden und Zahlungen für deine Eingaben werden möglicherweise ausgeschlossen.

Prämien

Die Feststellung von Sicherheitslücken honorieren wir wie folgt: Bitte beachte, dass die Prämie von der potenziellen Auswirkung und der Detailgenauigkeit der Beschreibung abhängig ist.

Bereich

  • Controlpanel (my.easyname.com): bis zu 10.000 EUR
  • Webseite (www.easyname.com): bis zu 2.500 EUR
  • Produktplattformen (etwa Webhosting oder Mail): bis zu 7.500 EUR
  • Webmail (webmail.easyname.com): bis zu 7.500 EUR

Bitte sprich uns zu Testumgebungen/-plänen an, falls konkrete Angriffsszenarien vorliegen.