Unser Bug Bounty Programm
Dein Feedback zahlt sich aus
Auch wenn wir alle unsere Anstrengungen darauf verwenden, absolut zuverlässige Systeme bereitzustellen, kann es zu unerwarteten Schwachstellen kommen. Um diese zu identifizieren und schnellstmöglich zu beheben, belohnen wir entsprechende Hinweise im Rahmen unseres Bug Bounty Programms.
Schließen von Sicherheitslücken
Die Greenmark IT GmbH betreibt ein Bug Bounty Programm, um die Sicherheit ihrer Produkte zu erhöhen. Der Begriff „Bug Bounty“ bezieht sich auf die Belohnung von gemeldeten Schwachstellen.
- API (core.do.de / core.resellerinterface.de)
- Backendsystem (my.do.de / my.resellerinterface.de)
- Dienste unter *.do.de
- Webseiten (www.do.de und resellerinterface.com)
Die Höhe der Prämie richtet sich nach dem Schweregrad des Fehlers und des Verwundbarkeitsgrades. Zusätzliche Hinweise sind zwar immer willkommen, können aber nicht mit einem Bounty belohnt werden.
Am Bug Bounty Programm der Greenmark IT GmbH dürfen gesetzliche Vertreter, aktuelle und ehemalige Mitarbeiter der Greenmark IT GmbH und mit ihr verbundenen Unternehmen sowie deren Angehörige nicht teilnehmen. Minderjährige können nur mit Zustimmung ihrer gesetzlichen Vertreter teilnehmen.
Verantwortungsvolle Offenlegung
- Die Responsible Disclosure Policy muss befolgt werden. Das heißt, Sicherheitslücken dürfen so lange nicht veröffentlicht werden, bis diese durch uns behoben wurden. Die Responsible Disclosure gilt für einen Zeitraum von 90 Tagen.
- Die Schwachstelle darf vorher nicht öffentlich bekannt gewesen sein.
- Es muss sich um die erste Meldung dieser spezifischen Schwachstelle handeln. Soweit die Schwachstelle bereits gemeldet wurde, kann keine Auszahlung eines Bounty erfolgen.
- Die Sicherheitslücke muss ohne den Einsatz von Scanning-Tools entdeckt worden sein.
- Die Sicherheitslücke darf nicht auf einer veralteten Softwarekomponente eines Drittanbieters beruhen.
- Eine Bug Bounty Meldung muss ein Beispiel (einmalige Anfrage oder PoC-Code) und eine Beschreibung der Sicherheitslücke enthalten.
- Sogenanntes „Fuzzing“ oder „Brute Force” sind zu unterlassen und berechtigen nicht zur Auszahlung eines Bug Bounty.
- Sollte die Verfügbarkeit eingeschränkt, eine Dienstleistungsverhinderung oder hohe Ressourcenauslastung aufgrund einer gefundenen Schwachstelle stattfinden, ist dies unverzüglich einzustellen und die Bug Bounty Meldung unverzüglich einzureichen.
- Echte Konten können zu Testzwecken verwendet werden. Der Zugriff und die Nutzung sowie Verbreitung und Manipulation von Kontodaten Dritter ohne deren Zustimmung ist jedoch strengstens verboten.
- Physische Angriffe auf den Betreiber der Netzinfrastruktur sind nicht für ein Bounty qualifiziert.
- Sollten interne Daten (Quelltexte oder auch Kundendaten) „erbeutet“ werden, sind diese sicher unter Verschluss zu halten und spätestens nach Aufforderung durch uns unwiederbringlich zu löschen. Sollte eine entsprechend Schwachstelle identifiziert werden, ist das weitere Auslesen einzustellen und die Bug Bounty Meldung unverzüglich einzureichen.
Wichtige Hinweise zu Bug Bounty Meldungen
- Das Bug Bounty Programm konzentriert sich ausschließlich auf die Webseiten und Systeme der Greenmark IT GmbH.
- Nur Schwachstellen in den oben genannten Webseiten und Systemen werden im Rahmen der Bug Bounty Initiative als relevant angesehen.
- Für weitere Hinweise und Informationen sind wir jederzeit dankbar. Diese werden jedoch nicht zwingend vergütet.
- Es besteht die Möglichkeit einer zukünftigen Ausweitung. Fragen Sie gerne nach.
- Pro gefundener Schwachstelle bitten wir, eine einzelne Meldung einzureichen.
Bug Bounty Meldung senden
Einzelne Meldungen bitte an die folgende E-Mail-Adresse senden:
security@greenmark-it.de