Sicherheitsprobleme melden

Sicherheitslücken auf verendoci.com entdeckt? Wir ermutigen Sie, uns umgehend zu kontaktieren. Wir werden alle legitimen Sicherheitsberichte überprüfen und uns bemühen, das Problem schnellstmöglich zu beheben. Bevor Sie einen Bericht senden, lesen Sie bitte dieses Dokument, einschließlich der Grundlagen, des Belohnungsprogramms, der Belohnungsrichtlinien und dessen, was nicht gemeldet werden sollte.

Grundlagen: Wenn Sie die unten stehenden Grundsätze beachten, wenn Sie ein Sicherheitsproblem auf verendoci.com melden, werden wir keine rechtlichen Schritte oder Ermittlungen gegen Sie einleiten.

Wir bitten darum:

  • Gewähren Sie uns eine angemessene Zeitspanne, um einen von Ihnen gemeldeten Fehler zu überprüfen und zu beheben, bevor Sie öffentlich Informationen darüber preisgeben oder diese Informationen mit anderen teilen.
  • Interagieren Sie nicht mit einem persönlichen Konto (einschließlich Modifikation oder Zugriff auf Kontodaten), es sei denn, der Kontoinhaber hat solchen Handlungen zugestimmt.
  • Unternehmen Sie ernsthafte Anstrengungen, um Verletzungen der Privatsphäre und Störungen für andere zu vermeiden, einschließlich (aber nicht beschränkt auf) Datenzerstörung sowie Unterbrechung oder Beeinträchtigung unserer Dienste.
  • Nutzen Sie eine von Ihnen entdeckte Sicherheitslücke nicht aus, aus keinem Grund. (Dies schließt das Aufzeigen zusätzlicher Risiken ein, wie den Versuch, sensible Unternehmensdaten zu kompromittieren oder weitere Probleme zu suchen.)
  • Verstoßen Sie nicht gegen geltende Gesetze oder Vorschriften.

Belohnungsprogramm: Wir erkennen und belohnen Sicherheitsforscher, die uns helfen, die Sicherheit unserer Dienste durch die Meldung von Schwachstellen zu gewährleisten. Die monetären Belohnungen für diese Berichte liegen vollständig im Ermessen von verendoci.com und basieren auf dem involvierten Risiko, dem Einfluss und anderen Faktoren. Um möglicherweise für eine Belohnung in Frage zu kommen, müssen Sie zunächst die folgenden Bedingungen erfüllen:

  • Befolgen Sie unsere Grundprinzipien (siehe oben).
  • Melden Sie einen Sicherheitsfehler – das heißt, identifizieren Sie eine Schwachstelle in unseren Diensten oder Infrastrukturen, die ein Sicherheits- oder Datenschutzrisiko darstellt. (Beachten Sie, dass wir letztendlich das Risiko eines Berichts bestimmen, da viele Fehler keine Sicherheitsprobleme sind.)
  • Reichen Sie Ihren Bericht über unser Sicherheitszentrum ein. Bitte kontaktieren Sie keine Mitarbeiter.
  • Falls Sie unbeabsichtigt eine Verletzung der Privatsphäre oder eine Störung verursachen (wie den Zugriff auf Kontodaten, Servicekonfigurationen oder andere vertrauliche Informationen) während der Untersuchung eines Fehlers, geben Sie dies in Ihrem Bericht an.

Wir untersuchen und reagieren auf alle gültigen Berichte. Aufgrund der Vielzahl der Berichte, die wir erhalten, priorisieren wir risikobewertete Bewertungen und andere Faktoren, und es kann einige Zeit dauern, bis Sie eine Antwort erhalten. Wir behalten uns das Recht vor, Berichte zu veröffentlichen.

Belohnungen: Unsere Belohnungen richten sich nach der Auswirkung einer Schwachstelle. Wir werden das Programm im Laufe der Zeit aktualisieren, also geben Sie Feedback zu allen Aspekten, die Sie verbessern können.

Bitte geben Sie detaillierte Berichte mit reproduzierbaren Schritten ab. Wenn der Bericht nicht ausführlich genug ist, um eine Untersuchung einzuleiten, ist er nicht für eine Belohnung qualifiziert.

Im Falle von Duplikaten belohnen wir den ersten Bericht, den wir vollständig reproduzieren können. Mehrere Schwachstellen, die durch ein zugrunde liegendes Problem verursacht werden, erhalten eine Belohnung.

Wir bestimmen, dass die Belohnung auf einer Vielzahl von Faktoren basiert, einschließlich (aber nicht beschränkt auf) Auswirkung, Leichtigkeit der Ausnutzung und Berichtsqualität. Die spezifischen Belohnungen sind unten aufgeführt.

Die unten aufgeführten Beträge sind die Höchstbeträge, die wir pro Stufe zahlen werden. Wir streben Fairness an, und alle Belohnungsbeträge liegen in unserem Ermessen.

Kritische Schwachstellen (300 ): Schwachstellen, die zu einem Privileg-Eskalation von nicht privilegiertem zu Administrator auf der Plattform führen, Remote-Code-Ausführung, finanziellen Diebstahl usw.

Beispiele:

  • Remote Code Execution
  • Remote Shell/Command Execution
  • Vertikaler Authentifizierungsbypass
  • Gezielte Daten-leckende SQL-Injektion
  • Vollständiger Zugriff auf Konten

Hohe Schwachstellen (100 ): Schwachstellen, die die Sicherheit der Plattform beeinträchtigen, einschließlich der von ihr unterstützten Prozesse.

Beispiele:

  • Lateraler Authentifizierungsbypass
  • Offenlegung bedeutender Unternehmensinformationen
  • Gespeicherter XSS für einen zusätzlichen Benutzer
  • Lokale Dateieinbindung
  • Unsicheres Management von Authentifizierungscookies

Mittlere Schwachstellen (50 ): Schwachstellen, die mehrere Benutzer beeinträchtigen, bei denen wenig oder keine Benutzerinteraktion erforderlich ist, um sie auszulösen.

Beispiele:

  • Gemeinsame logische Designfehler und Geschäftsprozessmängel
  • Unsichere Verb-Objekt-Verweise

Niedrige Schwachstellen: Probleme, die einzelne Benutzer betreffen und erhebliche Interaktion oder Voraussetzungen erfordern (MITM).

Beispiele:

  • Offene Weiterleitung
  • Reflektierende XSS
  • Niedrige Sensitivitätsinformationen-Lecks

Die Dienste für Abrechnung und Verwaltung sind werktags von 9:00 bis 17:00 Uhr verfügbar (Montag bis Freitag).

Bei Fragen können Sie sich gerne an uns wenden. Wir sind bereit, Ihnen die besten Dienstleistungen anzubieten.

KONTAKTINFORMATIONEN:
E-Mail: Info@verendoci.com