Sicherheit

Bug-Bounty-Programm

BelHost begrüßt verantwortungsvolle Offenlegung durch Sicherheitsforscher. Wir prüfen alle qualifizierten Meldungen und können für gültige Sicherheitslücken Prämien anbieten.

Sicherheitslücke melden Richtlinien lesen
Auf dieser Seite
Meldekanal
[email protected]

Übersicht

Die Sicherheit unserer Systeme hat für uns höchste Priorität. Kein System ist perfekt, und in jeder Technologie können Fehler auftreten. Wir freuen uns auf die Zusammenarbeit mit erfahrenen Sicherheitsforschern zum Schutz unserer Kunden.

Wenn Sie der Meinung sind, ein Sicherheitsproblem in unserem Produkt oder Dienst gefunden zu haben, bitten wir Sie, uns zu benachrichtigen.

Richtlinien zur verantwortungsvollen Offenlegung

  • Informieren Sie uns so schnell wie möglich nach Entdeckung einer potenziellen Sicherheitslücke – wir werden alles daransetzen, diese schnell zu beheben.
  • Räumen Sie uns eine angemessene Frist zur Behebung des Problems ein, bevor Sie es öffentlich oder gegenüber Dritten offenlegen.
  • Kein unbefugtes Identitäts-Spoofing: Versuche, andere Parteien durch die Nachahmung eines BelHost-Mitarbeiters, eines anderen Forschers oder eines Sicherheitsteams sozial zu manipulieren, werden nicht toleriert.
  • Wenn Sie alle in diesen Richtlinien festgelegten Bedingungen einhalten, werden wir aufgrund Ihrer Meldung keine rechtlichen Schritte gegen Sie einleiten.
  • Ihre Meldung wird vertraulich behandelt. Wir werden Ihre persönlichen Daten ohne vorherige Zustimmung nicht an Dritte weitergeben, es sei denn, dies ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.

Prämien

Als Wertschätzung Ihrer Arbeit bietet BelHost Prämien für Meldungen qualifizierter Sicherheitslücken an. Prämien können als finanzielle Vergütung oder als BelHost-Merchandising gewährt werden. Die Prämienhöhe liegt im Ermessen von BelHost und richtet sich nach dem internen Schweregrad der gemeldeten Sicherheitslücke. Die Prämie wird nach Validierung durch unsere internen Teams kommuniziert.

Teilnahmebedingungen

Um eine Prämie zu erhalten, müssen Sie:

  1. Der erste sein, der die Sicherheitslücke meldet.
  2. Die auf dieser Seite beschriebenen Richtlinien befolgen.
  3. Die Sicherheitslücke nicht vor unserer Behebung öffentlich offenlegen.
  4. Einen funktionierenden Proof of Concept bereitstellen, der die Sicherheitslücke ausnutzt.
  5. Ausschließlich eigene erstellte Konten verwenden und nicht auf Daten anderer Nutzer zugreifen.
  6. Kein Einwohner eines Landes sein, das auf der SDN-Liste (Specially Designated Nationals and Blocked Persons) aufgeführt ist.
  7. Kein Einwohner eines Landes sein, das auf der konsolidierten Liste der Personen, Gruppen und Einheiten steht, die EU-Finanzsanktionen unterliegen.

Absolute Ausschlüsse

Die folgenden Kategorien liegen außerhalb des Umfangs und erhalten in der Regel keine Antwort.

Soziale und physische Angriffe
  • Social Engineering (einschließlich Phishing)
  • Jegliche physische Angriffe auf BelHost-Eigentum oder Rechenzentren
  • Physischer Angriff auf die Infrastruktur
Verfügbarkeits- und Missbrauchstests
  • Denial of Service
  • Brute-Force-Angriffe
  • Berichte von automatisierten Tools und Scans
  • Fehlende Rate-Limits
Wenig aussagekräftige Web-Probleme
  • CSRF
  • Self-XSS
  • Clickjacking und Probleme, die nur durch Clickjacking ausnutzbar sind
  • Content-Spoofing auf Fehlerseiten oder Text-Injection
  • Homograph-Angriffe
  • Offene Weiterleitungen
  • Schwaches CAPTCHA / CAPTCHA-Umgehung
  • Cache-bezogene Probleme
Konfigurations- und Header-Befunde
  • X-Frame-Options-bezogen
  • Fehlende Cookie-Flags
  • Fehlende Sicherheits-Header, die nicht direkt zu einer Schwachstelle führen
  • Fehlendes noreferrer, noopener
  • DKIM/SPF/DMARC-Probleme
  • Versions-Offenlegung
  • Verzeichnis-Listing
  • SSL-Probleme
  • OPTIONS-HTTP-Methode aktiviert
  • Server-IP-Offenlegung
Konto- und Authentifizierungs-Grenzfälle
  • Authentifizierungs-Session-Timeouts (Sessions sind IP-gebunden mit einem 1-Stunden-Timeout)
  • 2FA-TOTP-Code-Wiederverwendung
  • Benutzerenumeration per Brute-Force
  • 2FA-Aktivierung ohne E-Mail-Bestätigung
  • Passwortprüfung bei E-Mail-Änderung oder 2FA
  • Passwortrichtlinie
  • Jeder Angriff, der Zugang zum Computer des Nutzers erfordert (physisch oder remote)
Drittanbieter- und fremde Software
  • Fehler in Software von Drittanbietern
  • WordPress-Sicherheitslücken
  • Jede Art von Browser-Sicherheitslücken
  • Parameter-Manipulation bei Zahlungsdienstleistern
Aufgrund der großen Anzahl ungültiger Meldungen werden Berichte, die eine in unseren Ausschlüssen aufgeführte Schwachstelle enthalten, nicht beantwortet.

Wie meldet man

Bitte senden Sie Ihre ersten Erkenntnisse an:

[email protected]