Zum Inhalt springen

 

Verantwortungsvolle Offenlegung

Bei Avaus nehmen wir Cybersicherheit sehr ernst und schätzen die Unterstützung von IT-Sicherheitsforschern sehr, die uns helfen, unsere hohen IT-Sicherheitsstandards aufrechtzuerhalten. Doch egal, wie viel Mühe wir uns mit der Systemsicherheit geben, es können immer noch Schwachstellen vorhanden sein.

Wenn Sie eine Schwachstelle entdecken, würden wir gerne davon erfahren, damit wir so schnell wie möglich Maßnahmen ergreifen können, um sie zu beheben. Wir möchten Sie bitten, uns zu helfen, unsere Kunden und unsere Systeme besser zu schützen.

 

Wie können Sie eine Sicherheitslücke melden?

Wenn Sie eine Sicherheitslücke festgestellt haben, gehen Sie bitte wie folgt vor:

  • Senden Sie Ihre Ergebnisse per E-Mail an security@avaus.com,
  • Nutzen Sie die von Ihnen entdeckte Schwachstelle oder das Problem nicht aus, indem Sie z. B. mehr Daten als nötig herunterladen, um die Schwachstelle zu demonstrieren, oder indem Sie die Daten anderer Personen löschen oder verändern,
  • Geben Sie das Problem nicht an andere weiter, bis es gelöst ist,
  • Verwenden Sie keine Angriffe auf die physische Sicherheit, Social Engineering, Distributed Denial of Service, Spam oder Anwendungen von Dritten, und
  • Geben Sie ausreichend Informationen an, um das Problem zu reproduzieren, damit wir es so schnell wie möglich beheben können. In der Regel reichen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus, aber komplexe Schwachstellen erfordern möglicherweise weitere Erläuterungen.

 

Arten von Schwachstellen, die wir berücksichtigen werden:

  • Injektions- und Deserialisierungsschwachstellen (SQL injection, command injection, object deserialization)
  • Schwachstellen bei der Authentifizierung und der Zugangskontrolle (fehlerhafte Implementierung von Authentifizierung, Sitzungsmanagement und Zugangskontrolle)
  • Gefährdung sensibler Daten (Schwachstellen, die zu Datenverlusten führen können lead )
  • Unsichere Konfigurationen und Sicherheitsfehlkonfigurationen
  • Website-übergreifendes Scripting
  • Website-übergreifende Anforderungsfälschungen
  • Externe XML-Entitäten
  • Server-seitige Anforderungsfälschungen
  • Schwachstellen bei der Umleitung
  • Ungeschützte API
  • Bekannte und Zero-Day-Schwachstellen im Rampenlicht.

 

Beispiele für Schwachstellen, die wir nicht berücksichtigen

Wir überwachen unsere dem Internet ausgesetzten Anlagen ständig, um Sicherheitsprobleme und Fehlkonfigurationen zu erkennen, und bitten Sie daher, die folgenden Punkte nicht zu melden, wenn sie nicht lead tatsächlich ausgenutzt werden:

  • Fehlende SPF- oder DMARC-Felder,
  • schwache Konfigurationen des TLS-Protokolls,
  • Berichte über die Nichteinhaltung bewährter Praktiken,
  • Ausgabe bekannter automatisierter Tools/Lösungen.

 

Wie werden wir reagieren?

Wenn Sie eine Sicherheitslücke im Zusammenhang mit einer unserer Websites melden, werden wir Ihre Anfrage wie folgt behandeln:

  • Wenn Sie die oben genannten Anweisungen befolgt haben, werden wir im Zusammenhang mit der Meldung keine rechtlichen Schritte gegen Sie einleiten,
  • Wir werden Ihren Bericht streng vertraulich behandeln und Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben,
  • Wir werden Sie über die Fortschritte bei der Lösung des Problems auf dem Laufenden halten,
  • Wir bieten kein Bug-Bounty-Programm oder finanzielle Belohnungen für verantwortungsvolle Enthüllungen an und Entschädigungsanträge werden nicht in Übereinstimmung mit dieser Richtlinie für verantwortungsvolle Enthüllungen berücksichtigt.

Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und wir möchten eine aktive Rolle bei der endgültigen Veröffentlichung des Problems spielen, nachdem es gelöst wurde.

 

Erklärung zum Datenschutz

Sie können sich auf die Erklärung zum Datenschutz finden Sie weitere Informationen darüber, wie wir Ihre personenbezogenen Daten im Rahmen des Programms "Responsible Disclosure" behandeln.