Verantwortungsvolle Offenlegung
Zu den Grundsätzen einer verantwortungsvollen Offenlegung gehören unter anderem:
- Greifen Sie nur auf Ihre eigenen Kundendaten zu bzw. geben Sie diese preis.
- Exfiltrieren Sie keine Daten aus unserer Infrastruktur (einschließlich Quellcode, Datensicherungen, Konfigurationsdateien).
- Wenn Sie Fernzugriff auf unser System erhalten, melden Sie Ihren Fund umgehend. Versuchen Sie nicht, auf andere Server umzusteigen oder den Zugriff zu erhöhen.
- Vermeiden Sie Scan-Techniken, die wahrscheinlich zu einer Verschlechterung des Dienstes für andere Kunden führen (z. B. durch Überlastung der Site). Hierzu gehört das Spammen von Kontaktformularen, Support-E-Mails usw.
- Halten Sie sich an die Richtlinien unserer Servicebedingungen.
- Halten Sie Details zu Sicherheitslücken geheim, bis Formdesk benachrichtigt wurde und ausreichend Zeit hatte, die Sicherheitslücke zu beheben.
- Um Anspruch auf eine Prämie zu haben, muss Ihr Beitrag von Formdesk als gültig akzeptiert werden. Zur Bestimmung der Gültigkeit von Anfragen und der angebotenen Prämienentschädigung verwenden wir die folgenden Richtlinien.
Reproduzierbarkeit
Unsere Ingenieure müssen in der Lage sein, die Sicherheitslücke aus Ihrem Bericht zu reproduzieren. Zu vage oder unklare Berichte sind nicht prämienberechtigt. Berichte, die klar geschriebene Erklärungen und funktionierenden Code enthalten, werden eher belohnt.
Schweregrad
Uns interessieren Sicherheitslücken, die ausgenutzt werden können, um Zugriff auf Benutzerdaten zu erhalten. Wir qualifizieren und belohnen eine Sicherheitslücke nur dann, wenn der Fehler allein oder in Kombination mit einer anderen von Ihnen gemeldeten Sicherheitslücke erfolgreich ausgenutzt werden kann, um auf Benutzerdaten zuzugreifen, die Ihnen nicht gehören. Allgemeine „Bugs“ sind niemals qualifizierende Schwachstellen und alles, was kein Exploit ist, ist ein allgemeiner „Bug“. Der Exploit darf sich ausschließlich auf Schwachstellen der Systeme von Formdesk stützen.
Beispiele für qualifizierende Schwachstellen
- Authentifizierungsfehler;
- Umgehung unseres Plattform-/Datenschutzberechtigungsmodells;
- Cross-Site-Scripting (XSS);
- Cross-Site-Request-Forgery (CSRF/XSRF). Dies schließt die Abmeldung CSRF aus;
- Serverseitige Codeausführung.
Beispiele für nicht qualifizierte Sicherheitslücken
- Nichtbeachtung bewährter Methoden (z. B. allgemeine HTTP-Header, Ablauf von Links oder Kennwortrichtlinien).
- Denial-of-Service-Schwachstellen (DOS).
- Möglichkeiten, als Designer eines Formulars (schädliche) Skripte zu einem Formular hinzuzufügen (das Einbinden von Skripten ist eine Funktion von Formdesk).
- Möglichkeiten zum Senden bösartiger Links.
- Sicherheitslücken auf Websites von Drittanbietern, mit denen Formdesk eine Verbindung hat (Zahlungsanbieter, SMS-Anbieter usw.).
- Sicherheitslücken, die von einem potenziellen Opfer die Installation nicht standardmäßiger Software oder andere aktive Schritte erfordern, um sich anfällig zu machen.
- Spam oder Social-Engineering-Techniken.
- Probleme, die unsere öffentlichen Websites betreffen (en.formdesk.com, nl.formdesk.com und de.formdesk.com).
- SPF-, DKIM- und DMARC-Probleme.
Belohnungen
Pro Sicherheitslücke wird nur 1 Kopfgeld vergeben.
Wenn wir mehrere Berichte über dieselbe Sicherheitslücke erhalten, erhält nur die Person eine Belohnung, die den ersten eindeutigen Bericht abgibt.
Wir wahren die Flexibilität unseres Belohnungssystems und haben keinen Mindest-/Höchstbetrag. Belohnungen richten sich nach Schweregrad, Auswirkung und Berichtsqualität.
Dies ist ein Ermessensprogramm und Formdesk behält sich das Recht vor, das Programm zu beenden.
Die Entscheidung über die Auszahlung einer Prämie liegt in unserem Ermessen.
Die Prämien werden über Paypal ausgezahlt. Diese Dienste erheben für die Abwicklung der Transaktion eine Gebühr, die vom zugesprochenen Betrag abgezogen wird.
Kontakt
Bitte senden Sie uns eine E-Mail an info@formdesk.com, wenn Sie Sicherheitslücken melden oder Fragen zum Programm haben. Bitte melden Sie jeden neuen Fehler in einem separaten E-Mail-Thread.