Regeln für verantwortungsvolle Schwachstellenmeldung bei Diconium

Bei Diconium nehmen wir die Sicherheit unserer digitalen Services und Produkte sehr ernst. Wir verpflichten uns zur Identifizierung und Behebung von Sicherheitslücken und begrüßen Erkenntnisse und Meldungen aus der Community. Mit Ihrer Hilfe werden wir schnell handeln, um die identifizierten Schwachstellen zu beheben. Dieses Dokument beschreibt, wie wir mit der Sicherheitscommunity zusammenarbeiten.

Geltungsbereich

Im Geltungsbereich sind alle IT Systeme und digitalen Produkte von Diconium, einschließlich Web Applikationen und zugehöriger Services.

Bitte beachten Sie, dass die IT Systeme unserer Kunden von diesem Umfang ausgeschlossen sind. Meldungen können für jedes Design oder Implementierungsproblem bei Diconium eingereicht werden, das reproduzierbar ist und sicherheitsrelevante Auswirkungen hat.

Häufige Beispiele sind:

  • Cross Site Request Forgery (CSRF)
  • Cross Site Scripting (XSS)
  • Insecure Direct Object Reference (IDOR)
  • Remote Code Execution (RCE)
  • Code Injection
  • Informationslecks und unzureichende Fehlerbehandlung
  • Unautorisierter Zugriff auf Eigenschaften oder Konten
  • Daten oder Informationslecks
  • Potenzial für Datenexfiltration
  • Aktiv ausnutzbare Hintertüren
  • Möglichkeit des unautorisierten Systemgebrauchs

Ausgeschlossene Schwachstellen

Die folgenden Schwachstellen und IT Sicherheitsprobleme fallen nicht in den Geltungsbereich. Bitte melden Sie diese nicht an uns:

  • Angriffe, die physischen Zugriff auf das Gerät oder Netzwerk eines Benutzers erfordern.
  • Nichteinhaltung von Best Practices, wie Zertifikats Pinning oder fehlende Security Header, die nicht unmittelbar zu einer ausnutzbaren Schwachstelle führen.
  • Formulare ohne CSRF Token, es sei denn, die Kritikalität übersteigt einen CVSSv3 Wert von 5.
  • Verwendung von Bibliotheken, die als verwundbar oder öffentlich als kompromittiert bekannt sind, ohne aktive Nachweise der Ausnutzbarkeit.
  • Berichte, die von automatisierten Tools oder Scans erzeugt wurden und keine begleitende Erläuterungsdokumentation enthalten.
  • Social Engineering Angriffe, einschließlich Phishing, Vishing und CEO Betrug.
  • Denial of Service Angriffe (DoS/DDoS).

Bug Bounty Programm

Derzeit gibt es kein offizielles Bug Bounty Programm bei Diconium.

Verfahren

Bitte lesen Sie dieses Dokument vollständig, bevor Sie Schwachstellen melden, um sicherzustellen, dass Sie die Regeln verstehen und diese einhalten können.

Senden Sie Ihre Erkenntnisse an security@diconium.com. Um die Vertraulichkeit dieser sensiblen Informationen zu schützen, können Sie Ihre Nachricht bitte mit unserem öffentlichen PGP Schlüssel verschlüsseln, der unter https://diconium.com/.well-known/security.txt verfügbar ist. Wir geben Ihnen umgehend ein erstes Feedback zu den nächsten Schritten.

  • Meldungen sollten entweder auf Englisch oder Deutsch eingereicht werden.
  • Wer ist von der Bedrohung betroffen? Geben Sie, wenn möglich, die betroffenen URLs an.
  • Wie kann die Schwachstelle ausgenutzt werden? Es kann hilfreich sein, Screenshots zur Veranschaulichung beizufügen.
  • Alle relevanten Details, einschließlich der Schritte zur Reproduktion des Problems. Hinweis: Keine sensiblen Daten wie Passwörter in der Beschreibung angeben.

Bitte beachten Sie die folgenden Punkte:

  • Führen Sie keine großflächigen automatisierten Schwachstellenscans mit Tools wie Nessus durch.
  • Nutzen Sie die Schwachstelle nicht aktiv für böswillige Zwecke aus.
  • Geben Sie Informationen über die Schwachstelle nicht ohne unsere ausdrückliche Genehmigung an Dritte weiter.
  • Gefährden Sie nicht die Privatsphäre oder Sicherheit unserer Mitarbeitenden oder Kunden.
  • Verstoßen Sie nicht gegen geltendes Strafrecht.
  • Führen Sie keine Angriffe auf unsere IT Systeme durch, die Infrastruktur oder Personen kompromittieren, verändern oder manipulieren, einschließlich Social Engineering Angriffen.
  • Beschränken Sie Ihre Aktivitäten ausschließlich auf den Geltungsbereich dieses Dokuments. Insbesondere dürfen Sie keine Angriffe außerhalb dieses Umfangs durchführen und sollten Handlungen vermeiden, die Ihnen selbst oder anderen schaden oder potenziell gefährliche Situationen erzeugen, z. B. das Manipulieren von Steuerungssystemen. Stellen Sie sicher, dass die Nutzererfahrung nicht beeinträchtigt und Systemausfälle vermieden werden.
  • Geben Sie neben dem Entdeckungsdatum ausreichend Informationen an, damit wir das Problem effektiv reproduzieren und analysieren können.
  • Geben Sie eine Kontaktmöglichkeit für Rückfragen an.

Unsere Grundsätze

  • Wir verpflichten uns, Schwachstellen so schnell wie möglich zu beheben, und Sie erhalten zeitnahes Feedback nach Eingang Ihrer Meldung.
  • Wenn Sie die Regeln dieses Dokuments einhalten, werden wir Ihre Erkenntnisse nicht an Strafverfolgungsbehörden weitergeben. Diese Regelung gilt nicht, wenn ein klarer Hinweis auf böswillige Absichten vorliegt.
  • Wenn Sie die Regeln dieses Dokuments einhalten, behandeln wir Ihre Meldung vertraulich und geben Ihre personenbezogenen Daten nicht ohne Ihre ausdrückliche Zustimmung an Dritte weiter.
  • Wir informieren Sie über die Gültigkeit der identifizierten Schwachstelle bzw. des IT Sicherheitsproblems und über den Fortschritt ihrer Behebung während des gesamten Prozesses.
  • Wir kontaktieren Sie, sobald die Schwachstelle behoben ist, und können Sie bitten, die Korrektur zu überprüfen.