Unser Bug Bounty Programm

Dein Feedback zahlt sich aus

Auch wenn wir alle unsere Anstrengungen darauf verwenden, absolut zuverl├Ąssige Systeme bereitzustellen, kann es zu unerwarteten Schwachstellen kommen. Um diese zu identifizieren und schnellstm├Âglich zu beheben, belohnen wir entsprechende Hinweise im Rahmen unseres Bug Bounty Programms.

Bug Bounty Formular

Schlie├čen von Sicherheitsl├╝cken

Die Greenmark IT GmbH betreibt ein Bug Bounty Programm, um die Sicherheit ihrer Produkte zu erh├Âhen. Der Begriff „Bug Bounty“ bezieht sich auf die Belohnung von gemeldeten Schwachstellen.

Im Rahmen der Bug Bounty Initiative der Greenmark IT GmbH werden die folgenden Systeme und Websites als relevant angesehen und verg├╝tet:
  • API (core.do.de / core.resellerinterface.de)
  • Backendsystem (my.do.de / my.resellerinterface.de)
  • Dienste unter *.do.de
  • Webseiten (www.do.de und resellerinterface.com)

Die H├Âhe der Pr├Ąmie richtet sich nach dem Schweregrad des Fehlers und des Verwundbarkeitsgrades. Zus├Ątzliche Hinweise sind zwar immer willkommen, k├Ânnen aber nicht mit einem Bounty belohnt werden.

Am Bug Bounty Programm der Greenmark IT GmbH d├╝rfen gesetzliche Vertreter, aktuelle und ehemalige Mitarbeiter der Greenmark IT GmbH und mit ihr verbundenen Unternehmen sowie deren Angeh├Ârige nicht teilnehmen. Minderj├Ąhrige k├Ânnen nur mit Zustimmung ihrer gesetzlichen Vertreter teilnehmen.

Verantwortungsvolle Offenlegung

Eine verantwortungsvolle Offenlegung muss die folgenden Bedingungen erf├╝llen:
 
  • Die Responsible Disclosure Policy muss befolgt werden. Das hei├čt, Sicherheitsl├╝cken d├╝rfen so lange nicht ver├Âffentlicht werden, bis diese durch uns behoben wurden. Die Responsible Disclosure gilt f├╝r einen Zeitraum von 90 Tagen.
  • Die Schwachstelle darf vorher nicht ├Âffentlich bekannt gewesen sein.
  • Es muss sich um die erste Meldung dieser spezifischen Schwachstelle handeln. Soweit die Schwachstelle bereits gemeldet wurde, kann keine Auszahlung eines Bounty erfolgen.
  • Die Sicherheitsl├╝cke muss ohne den Einsatz von Scanning-Tools entdeckt worden sein.
  • Die Sicherheitsl├╝cke darf nicht auf einer veralteten Softwarekomponente eines Drittanbieters beruhen.
  • Eine Bug Bounty Meldung muss ein Beispiel (einmalige Anfrage oder PoC-Code) und eine Beschreibung der Sicherheitsl├╝cke enthalten.
  • Sogenanntes ÔÇ×FuzzingÔÇť oder ÔÇ×Brute ForceÔÇŁ sind zu unterlassen und berechtigen nicht zur Auszahlung eines Bug Bounty.
  • Sollte die Verf├╝gbarkeit eingeschr├Ąnkt, eine Dienstleistungsverhinderung oder hohe Ressourcenauslastung aufgrund einer gefundenen Schwachstelle stattfinden, ist dies unverz├╝glich einzustellen und die Bug Bounty Meldung unverz├╝glich einzureichen.
  • Echte Konten k├Ânnen zu Testzwecken verwendet werden. Der Zugriff und die Nutzung sowie Verbreitung und Manipulation von Kontodaten Dritter ohne deren Zustimmung ist jedoch strengstens verboten.
  • Physische Angriffe auf den Betreiber der Netzinfrastruktur sind nicht f├╝r ein Bounty qualifiziert.
  • Sollten interne Daten (Quelltexte oder auch Kundendaten) „erbeutet“ werden, sind diese sicher unter Verschluss zu halten und sp├Ątestens nach Aufforderung durch uns unwiederbringlich zu l├Âschen. Sollte eine entsprechend Schwachstelle identifiziert werden, ist das weitere Auslesen einzustellen und die Bug Bounty Meldung unverz├╝glich einzureichen.

Wichtige Hinweise zu Bug Bounty Meldungen

  • Das Bug Bounty Programm konzentriert sich ausschlie├člich auf die Webseiten und Systeme der Greenmark IT GmbH.
  • Nur Schwachstellen in den oben genannten Webseiten und Systemen werden im Rahmen der Bug Bounty Initiative als relevant angesehen.
  • F├╝r weitere Hinweise und Informationen sind wir jederzeit dankbar. Diese werden jedoch nicht zwingend verg├╝tet.
  • Es besteht die M├Âglichkeit einer zuk├╝nftigen Ausweitung. Fragen Sie gerne nach.
  • Pro gefundener Schwachstelle bitten wir, eine einzelne Meldung einzureichen.

Bug Bounty Meldung senden

Einzelne Meldungen bitte an die folgende E-Mail-Adresse senden:

security@greenmark-it.de

Zehntausende Kunden vertrauen t├Ąglich auf den Service der Domain-Offensive

Hier ist Dein Gutscheincode:

DE-LIFETIME