Einleitung
Bei der Entdeckung von Sicherheitslücken, die im Rahmen unserer Softwareentwicklung übersehen wurden, spielen Sicherheitsexperten eine wichtige Rolle. Wir sind der festen Überzeugung, dass die enge Kooperation mit Sicherheitsexperten unseren Kunden mehr Sicherheit bietet. Eine geplante, koordinierte Aufdeckung von Sicherheitslücken bildet die Grundlage unseres Handelns und der von uns angestrebten Interaktion mit Experten. Wir entwickeln das Bug-Bounty-Programm von easyname zum Schutz unserer Kunden und unseres allgemeinen Ökosystems. Wir legen großen Wert darauf, dass uns Sicherheitsexperten mit ihrer Expertise, Zeit und Kooperationsbereitschaft bei der Erreichung dieser Ziele unterstützen. Daher gewähren wir Sicherheitsexperten Belohnungen in bar, wenn sie für unsere Prämienprogramme relevante Ergebnisse vorlegen. In unseren regelmäßigen Publikationen berichten wir über die Behebung von Sicherheitsmängeln und würdigen Beiträge zu einem besseren Schutz.
Ergebnisorientierte Beiträge können eingereicht werden unter: bugbounty[AT]easyname.com
Beiträge
Beiträge, die gut formulierte Beschreibungen, Folgeabschätzungen und Schritte zur Reproduktion deines Proof-of-Concept-Code enthalten, berechtigen zu höheren Auszahlungen als Stapelspeicherauszüge oder Beiträge ohne konkrete Auswirkungen. Wir bitten dich um die Einhaltung des folgenden Einreichungsverfahrens.
- Im Falle der Identifizierung einer Sicherheitslücke bitten wir Sie, sich vertraulich unter folgender E-Mail-Adresse an uns zu wenden: bugbounty[AT]easyname.com.
- Wir laden Sie ein, mit uns zusammenzuarbeiten, bis eine Lösung gefunden ist. Wir werden uns bemühen, so rasch wie möglich auf Ihre Meldung zu reagieren und den Fehler zu beheben.
- Im Rahmen dieser partnerschaftlichen Zusammenarbeit werden Prämienzahlungen gewährt.
- Nach Prüfung gemäß den geltenden Bedingungen dieses Dokuments und Feststellung, dass Ihr Beitrag zu einer Prämie berechtigt, werden wir Ihnen die Höhe der Prämie mitteilen und die erforderlichen Unterlagen für die Abwicklung der Zahlung zusenden. Sollten Sie keine Prämie wünschen, steht es Ihnen frei, auf die Zahlung zu verzichten.
- Die Beiträge sollten die folgenden Punkte umfassen: Art des Problems, betroffener Service, schrittweise Anleitung zur Reproduktion des Problems, Auswirkungen des Problems
Regeln des Programms / Verhaltenskodex
Durch die Offenlegung einer Sicherheitslücke stimmst du den folgenden Regeln zu:
- Vertraulichkeit von Kundendaten: Die Sicherheitsforschung kann sich auf Produktionsdienstleistungen beziehen, die auch von unseren Kunden genutzt werden. Es wird erwartet, dass die Experten die gebotene Sorgfalt walten lassen und während ihrer Recherche Datenschutzverletzungen, Datenvernichtung sowie Unterbrechungen oder Beeinträchtigungen unserer Dienstleistungen vermeiden. Sollten Kundendaten entdeckt werden, ist die Recherche umgehend einzustellen und uns zu kontaktieren.
- Verfügbarkeit des Produktionssystems: Unsere Dienstleistungen werden in einem Produktionsumfeld erbracht, in dem die Kunden aktiv darauf zugreifen und von ihnen abhängig sind. Jegliche Forschungen, die die Verfügbarkeit beeinträchtigen, wie beispielsweise ein Dienstverweigerungsangriff (Denial of Service) oder eine hohe Auslastung der Ressourcen, sind nicht gestattet.
- Keine Verwendung automatisierter Test-Tools: Oftmals liefern Sicherheitstools umfangreiche Informationen, die auch von unserem Team genutzt werden. Es wird um Verständnis gebeten, dass grundlegende Ergebnisse, die mithilfe gängiger Sicherheitstools, insbesondere Scannern, erzielt wurden, nicht honoriert werden.
- Kein Social Engineering und keine physischen Angriffe: Wir akzeptieren keine Beiträge, die eine Manipulation von Daten oder der Netzinfrastruktur und/oder physische Angriffe auf physische Einheiten (wie unser Büro oder Datencenter) und/oder Social Engineering von Mitarbeitern, Vertragspartnern oder Kunden erfordern.
- Remoteausführung: Bei Sicherheitslücken in der Remotecodeausführung akzeptieren wir keine Eingaben, wenn folgende Funktionen ausgeführt wurden:
- Löschen von Dateien
- Jailbreaks
- Unterbrechung normaler Abläufe (z.B. Auslösung eines Neustarts)
- Schaffung / Aufrechterhaltung ständiger Verbindungen mit den betroffenen Systemen
- Hochladen von Dateien, die beliebige Befehle zulassen (z.B. Web-Shells)
- Sicherheitslücken „out-of-Scope“ (außerhalb der Reichweite des Programms):
- Enthüllung nichtsensibler Daten
- Sicherheitslücken von Drittanbieter-Bibliotheken ohne besondere Auswirkungen (z.B. CVE mit keinem Exploit)
- Sicherheitslücken, die einen Jailbreak oder stark veränderte Einstellungen erfordern.
- Bitte befolgen Sie die geltenden Gesetze und Vorschriften: Vermeiden Sie jegliches rechtswidriges Verhalten. Engagieren Sie sich nicht in Aktivitäten, die anderen schaden könnten. Respektieren Sie die Rechte Dritter und leisten Sie keine Unterstützung bei Verstößen gegen Regeln.
- Persönliche Daten: Die Sicherheitsexperten werden von uns als unsere Partner angesehen. Um Zahlungen an Sie zu leisten, sind wir auf die Bereitstellung Ihrer persönlichen Daten angewiesen. Wir bitten Sie daher höflich, uns diese zur Verfügung zu stellen.
- Teilnahmeberechtigung: Um Anspruch auf eine Prämie zu haben, müssen sämtliche nachfolgend aufgeführten Bedingungen erfüllt sein:
- Sie müssen mindestens 18 Jahre alt sein. Sollten Sie jünger als 18 Jahre sein, ist die Erlaubnis eines Elternteils oder gesetzlichen Vormundes vor der Teilnahme erforderlich.
- Sie agieren eigenständig als Sicherheitsforscher oder sind bei einem Unternehmen beschäftigt, das Ihre Beteiligung gestattet.
- Sie sind derzeit nicht Mitarbeiter von easyname oder einer Tochtergesellschaft.
- Sie waren in den letzten 6 Monaten nicht Mitarbeiter von easyname oder einer Tochtergesellschaft.
- Die Sicherheitslücke kann ohne Zugriff auf das von Mitarbeitern und/oder Anbietern genutzte Unternehmensnetzwerk von easyname ausgenutzt werden.
Bei Verstoß gegen diese Regeln kann eine Ausschließung aus dem Programm erfolgen, und Zahlungen für Ihre Beiträge können unter Umständen entfallen.
Prämien
Die Anerkennung von Sicherheitslücken erfolgt gemäß den folgenden Kriterien: Es ist zu beachten, dass die Höhe der Prämie von der potenziellen Auswirkung und der Genauigkeit der Beschreibung abhängt.
- Controlpanel (my.easyname.com): bis zu 10.000 EUR
- Webseite (www.easyname.com): bis zu 2.500 EUR
- Produktplattformen (etwa Webhosting oder Mail): bis zu 7.500 EUR
- Webmail (webmail.easyname.com): bis zu 7.500 EUR
Wir bitten Sie, uns über Pläne zu informieren, sollten konkrete Angriffsszenarien vorliegen.