SKIKK Responsible Disclosure Program
Überblick
Bei SKIKK haben die Sicherheit unserer Systeme und der Schutz der Daten unserer Kunden höchste Priorität.
Trotz aller Bemühungen können jedoch Schwachstellen bestehen. Daher begrüßen wir verantwortungsvolle Sicherheitsforschung und stellen dieses Responsible Disclosure Program bereit, damit Forscher Sicherheitsprobleme sicher und ethisch melden können.
Dieses Programm ist ausschließlich für Sicherheitsforschung in gutem Glauben gedacht. Es handelt sich nicht um ein Bug-Bounty-Programm und bietet keine monetären Belohnungen.
Geltungsbereich
Domains im Geltungsbereich
-
www.skikk.eu
Nur Systeme, die im Besitz und unter dem Betrieb von SKIKK stehen, fallen in den Geltungsbereich. Drittanbieterdienste, Integrationen und externe Anbieter sind außerhalb des Geltungsbereichs, sofern nicht ausdrücklich anders angegeben.
Schwachstellenkategorien im Geltungsbereich
Wir sind vor allem an Schwachstellen interessiert, die die Vertraulichkeit, Integrität oder Verfügbarkeit unserer Systeme oder Kundendaten beeinträchtigen können, einschließlich, aber nicht beschränkt auf:
-
Offenlegung sensibler Daten
-
Probleme bei Authentifizierung und Sitzungsverwaltung
-
Insecure Direct Object References (IDOR)
-
Injection-Schwachstellen (SQL, Command, usw.)
-
Cross-Site Scripting (XSS) – stored oder reflected
-
Remote Code Execution (RCE)
-
Sicherheitsfehlkonfigurationen
-
Fehlerhafte Zugriffskontrolle
-
Directory- / Path-Traversal
-
Offenlegung von Zugangsdaten oder Secrets
Nicht im Geltungsbereich
Folgendes liegt außerhalb des Geltungsbereichs und kann ohne weitere Prüfung geschlossen werden:
-
Social Engineering, Phishing, Vishing oder Identitätsvortäuschung
-
Denial-of-Service-Tests (DoS / DDoS)
-
Brute-Force-Angriffe oder Account-Enumeration
-
Ausgaben automatisierter Scanner ohne manuelle Validierung
-
Vorschläge zu schwachen Passwortrichtlinien
-
Fehlende HTTP-Header ohne nachgewiesenes Risiko
-
Cookie-Flags bei nicht sensiblen Cookies
-
Clickjacking oder CSRF auf nicht sensiblen Seiten
-
Konfigurationsprobleme bei E-Mail SPF / DKIM / DMARC
-
Open Redirects ohne Sicherheitsauswirkung
-
Self-Exploitation oder rein theoretische Probleme
-
Probleme, die unrealistische Benutzerinteraktion erfordern
-
Schwachstellen, die SKIKK bereits bekannt sind
-
Meldungen auf Basis geleakter, gestohlener oder kompromittierter Zugangsdaten
Verhaltensregeln
Beim Testen müssen Sie:
-
Nur auf Konten testen, die Sie besitzen und kontrollieren
-
Handlungen vermeiden, die die Verfügbarkeit des Dienstes beeinträchtigen
-
Keine Daten anderer Benutzer einsehen, ändern oder löschen
-
Keine Malware oder bösartigen Payloads hochladen
-
Schwachstellen nicht über den Proof of Concept hinaus ausnutzen
-
Keine physischen Sicherheitstests durchführen
-
Schwachstellen nicht vor der Behebung öffentlich bekannt machen
-
Sämtliche während des Tests erlangten sensiblen Daten löschen
Ein Verstoß gegen diese Regeln kann zum Ausschluss aus dem Programm führen.
Meldung einer Schwachstelle
Bitte senden Sie Meldungen per E-Mail an:
security@skikk.eu
Ihre Meldung sollte Folgendes enthalten:
-
Eine klare Beschreibung des Problems
-
Betroffene URL(s) oder Endpoint(s)
-
Schritte zur Reproduktion
-
Proof of Concept, sofern zutreffend
-
Bewertung der Auswirkungen
Unvollständige oder unklare Meldungen können abgelehnt werden.
Unsere Zusage
Wenn Sie diese Richtlinie befolgen, verpflichten wir uns:
-
Den Eingang Ihrer Meldung zu bestätigen
-
Gemeldete Probleme zu prüfen und zu validieren
-
Sie bei Bedarf über den Fortschritt zu informieren
-
Keine rechtlichen Schritte gegen gutgläubige Forschung einzuleiten
-
Ihre Meldung vertraulich zu behandeln
Die Bearbeitungszeiten können je nach Schweregrad und Komplexität variieren.
Keine Belohnungen
SKIKK bietet keine monetären Belohnungen, Bounties oder Auszahlungen für gemeldete Schwachstellen. Dies ist ein Responsible-Disclosure-Programm auf Basis gutgläubiger Zusammenarbeit und kein bezahltes Bug-Bounty-Programm.
Wir schätzen die Zeit und Mühe von Sicherheitsforschern sehr und würdigen valide Beiträge gerne, wo angemessen. Die Teilnahme ist jedoch freiwillig und begründet keinen Anspruch auf eine Vergütung.
Rechtliche Bedingungen
Mit dem Einreichen einer Meldung bestätigen Sie, dass:
-
Sie der ursprüngliche Verfasser der Meldung sind
-
Sie SKIKK das Recht einräumen, die Meldung zu verwenden und darauf zu reagieren
-
Sie die Schwachstelle nicht ohne schriftliche Zustimmung öffentlich bekannt geben
-
Sie den Namen oder die Marke SKIKK nicht für Werbezwecke verwenden
Schlussbemerkungen
Dieses Programm kann jederzeit ohne Vorankündigung geändert oder eingestellt werden. Die Teilnahme ist freiwillig und begründet keinen Anspruch auf Belohnung oder Vergütung.
Vielen Dank, dass Sie dazu beitragen, SKIKK und seine Kunden sicher zu halten.