Verantwortungsvolle offenlegung

Melden einer Sicherheitsschwachstelle


Bei Action legen wir größten Wert auf die Sicherheit unserer Systeme. Aber egal, wie viel Aufwand wir in die Systemsicherheit investieren, es können trotzdem Schwachstellen vorkommen.

Beispiele für Sicherheitsschwachstellen, die Sie melden können:

  • Website-übergreifende Scripting-Sicherheitslücken
  • Sicherheitslücken bei der SQL-Injektion
  • Schwachstellen bei der Verschlüsselung
  • usw.

Wenn Sie eine Schwachstelle entdecken, würden wir Sie bitten, uns darüber zu informieren, damit wir so schnell wie möglich Maßnahmen ergreifen können, um sie entsprechend zu beheben. Wir möchten Sie bitten, uns zu helfen, unsere Kunden und unsere Systeme besser zu schützen.

Bitte machen Sie folgendes:

  • Schicken Sie Ihre Beobachtungen an [email protected] Verschlüsseln Sie Ihre Ergebnisse am besten mit unserer PGP-Verschlüsselung, damit diese kritischen Informationen nicht in die falschen Hände geraten.

PGP-Schlüssel: Herunterladen

PGP-Fingerabdruck: 797A CBB9 4E72 DA2B 85EB 422D 45D2 1BB2 DF1C 268D

  • Nutzen Sie die von Ihnen entdeckte Schwachstelle oder das Problem nicht, indem Sie z.B. mehr Daten herunterladen, als zum Nachweis der Schwachstelle erforderlich sind, oder indem Sie Daten löschen oder ändern;
  • Veröffentlichen Sie das Problem nicht, bevor es gelöst ist;
  • Verzichten Sie auf Angriffe auf physische Sicherheit, Social Engineering, Distributed-Denial-of-Service (DDoS), Spam oder Anwendungen von Dritten;
  • Stellen Sie ausreichende Informationen zur Verfügung, um das Problem zu reproduzieren, damit wir es so schnell wie möglich lösen können. In der Regel sind die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle ausreichend, aber komplexe Sicherheitslücken können weitere Erläuterungen erfordern.

Was wir versprechen:

  • Wir reagieren innerhalb von 15 Werktagen auf Ihren Bericht mit unserer Bewertung des Berichts und einem voraussichtlichen Lösungsdatum;
  • Wenn Sie die oben genannten Anweisungen befolgt haben, werden wir in Bezug auf den Bericht keine rechtlichen Schritte gegen Sie unternehmen;
  • Wir werden Ihren Bericht streng vertraulich behandeln und Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben;
  • Wir werden Sie über die Fortschritte bei der Lösung des Problems auf dem Laufenden halten. In der externen Mitteilung über das gemeldete Problem geben wir Ihren Namen als Entdecker des Problems an, sofern Sie dies wünschen;
  • Wir werden darüber nachdenken, ob für das gemeldete Problem eine Belohnung gewährt wird. Voraussetzung dafür ist, dass ein berechtigtes Problem mit einem neuartigen und substanziellen Charakter vorlag.

Wir sind bestrebt, alle Probleme so schnell wie möglich zu lösen, und wir möchten eine aktive Rolle bei der endgültigen Veröffentlichung des Problems nach seiner Lösung spielen (falls dies gewünscht wird).

Datenschutz

  • Wenn Sie keine anonyme Meldung machen, bitten wir Sie ggf. um Ihre Kontaktdaten.
  • Ohne Ihre Zustimmung geben wir Ihre Identität nicht an Dritte weiter und verwenden Ihre personenbezogenen Daten nur zur Bearbeitung Ihres Berichts.
  • Für die Gewährung der Belohnung benötigen wir Ihre persönlichen Daten, falls zutreffend.