Bug-Bounty-Programm
Wir setzen uns für den Schutz unserer Gemeinschaft ein und haben ein Sicherheitsprogramm für Benutzer eingerichtet, die uns sicherheitsrelevante Probleme im Zusammenhang mit unserer Website melden können.
Wenn Sie glauben, eine Schwachstelle oder ein Problem gefunden zu haben und an unserem Programm teilnehmen möchten, bitten wir Sie, uns eine detaillierte Beschreibung des Problems zukommen zu lassen, einschliesslich der Schritte, die wir unternehmen können, um das Problem zu reproduzieren und/oder eines Proof-of-Concept.
Wenn Sie uns einen Bericht übermitteln, geben Sie unserem Team bitte eine angemessene Zeit, um auf Ihren Bericht zu reagieren und das Problem zu beheben. Wir wissen Ihre Bemühungen um den Schutz unserer Community sehr zu schätzen und können Teilnehmer für ihre Hilfe belohnen. Alle Meldungen unterliegen den unten aufgeführten Bedingungen unseres Programms und den auf der Website verfügbaren Allgemeinen Geschäftsbedingungen für Dienstleistungen.
Geltungsbereich
Wir freuen uns über Berichte zu allen sicherheitsrelevanten Problemen oder Schwachstellen, die Sie auf unserer Website finden. Greifen Sie jedoch bitte nicht auf Phishing, Spamming oder andere fragwürdige Methoden zurück, die unsere Nutzer belästigen oder ihre Daten gefährden, ein erhebliches Verkehrsaufkommen erzeugen oder Störungen auf unserer Website verursachen könnten. Die Verwendung automatischer Sicherheitsscan-Tools ist erlaubt, solange sie keine Probleme verursachen.
Kopfgeld
Die Mindestprämie beträgt $100 für Sicherheitslücken. Die Belohnung hängt von der Schwere der Sicherheitslücke ab. Probleme, die keine Auswirkungen auf die Sicherheit haben, kommen für eine Prämie nicht in Frage, sind aber dennoch willkommen und werden wie jede andere Meldung behandelt.
Teilnahmeberechtigung
- Sie müssen die Sicherheitslücke als Erster melden.
- Sie greifen nicht auf die Daten anderer Benutzer zu und verwenden ausschließlich Ihre selbst erstellten Konten.
- Sie dürfen die Sicherheitslücke nicht öffentlich bekannt machen, bevor wir sie behoben haben.
- Sie stellen einen funktionierenden Konzeptnachweis zur Verfügung, der die Sicherheitslücke ausnutzt.
- Der Bericht über die Sicherheitslücke wird mit PGP verschlüsselt (Details siehe unten; siehe: Kontaktaufnahme)
Ausschluss
Anmeldung/Abmeldung CSRF
DDoS
Social Engineering bei Kunden oder Mitarbeitern der HOT Group AG
Self-XSS (wir verlangen einen Nachweis, wie der XSS zum Angriff auf einen anderen Algolia-Benutzer verwendet werden kann)
Missachtung von Ratenlimits
Bericht von automatisierten Tools und Scans
Schwachstellen beim Versenden von Spam oder unautorisierten Nachrichten
Bugs in Software von Drittanbietern
X-Frame-Options bezogen
Im Zusammenhang mit HSTS
DNSSEC
Fehlende Sicherheits-Header, die nicht direkt zu einer Sicherheitslücke führen
Physische Angriffe auf die Infrastruktur
Theoretische Angriffe
Aufbrechen des SSL/TLS-Vertrauens
Kompromittierung des Browsers/Geräts (z. B. gemeinsame Nutzung eines Computers, physischer Zugriff auf das Gerät eines Nutzers, ...)
Schwachstellen, die nur Benutzer veralteter oder nicht gepatchter Browser und Plattformen betreffen
Richtlinien zur Wiederherstellung von Passwörtern und Konten, z. B. Ablauf des Reset-Links oder Passwortkomplexität
Schwachstellen ohne Lösung auf unserer Seite (HEIST, ...)
Veraltete DNS-Einträge, die auf ein System verweisen, das nicht uns gehört
Eigentümerschaft und Anreiz
Jede Meldung, die Sie uns zukommen lassen, geht in unser Eigentum über, und wir sind nicht verpflichtet, auf eine Meldung zu reagieren. Wenn wir jedoch auf einen Bericht reagieren, können wir Ihnen nach eigenem Ermessen eine monetäre oder nicht-monetäre Entschädigung gewähren, um Ihnen unsere Wertschätzung für Ihre Hilfe zu zeigen. Sie sind für alle Steuern und alle Ausgaben, Kosten oder Gebühren im Zusammenhang mit Ihrer Teilnahme am Programm und jeder Belohnung verantwortlich.
Gewährleistungsausschlüsse
SIE ERKENNEN AUSDRÜCKLICH AN UND STIMMEN ZU, DASS: (1) IHRE TEILNAHME AM PROGRAMM UND DIE VERWENDUNG VON PRÄMIEN ERFOLGT AUF IHR EIGENES RISIKO. HOT GROUP AG SCHLIESST AUSDRÜCKLICH ALLE GARANTIEN JEGLICHER ART AUS, OB AUSDRÜCKLICH ODER STILLSCHWEIGEND, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF DIE STILLSCHWEIGENDE GARANTIE DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN. HOT GROUP AG LEHNT INSBESONDERE JEDE HAFTUNG FÜR HANDLUNGEN AB, DIE SICH AUS IHRER TEILNAHME AM PROGRAMM ODER DER NUTZUNG EINER PRÄMIE ERGEBEN.
Letzter Hinweis
Wir bitten Sie, die Grundsätze der verantwortungsvollen Offenlegung zu befolgen und unserem Entwicklungsteam eine angemessene Zeit zu geben, um auf das eingereichte Problem zu reagieren und es zu korrigieren, bevor Sie es öffentlich machen. Wir bitten Sie, mit uns in Bezug auf die Veröffentlichung offen zu kommunizieren, damit wir uns über den Bericht und den Zeitplan einig sind.
Vielen Dank, wir wissen Ihre Bemühungen wirklich zu schätzen! Viel Spaß beim Hacken!
Wenn Sie glauben, eine Schwachstelle oder ein Problem gefunden zu haben und an unserem Programm teilnehmen möchten, bitten wir Sie, uns eine detaillierte Beschreibung des Problems zukommen zu lassen, einschliesslich der Schritte, die wir unternehmen können, um das Problem zu reproduzieren und/oder eines Proof-of-Concept.
Wenn Sie uns einen Bericht übermitteln, geben Sie unserem Team bitte eine angemessene Zeit, um auf Ihren Bericht zu reagieren und das Problem zu beheben. Wir wissen Ihre Bemühungen um den Schutz unserer Community sehr zu schätzen und können Teilnehmer für ihre Hilfe belohnen. Alle Meldungen unterliegen den unten aufgeführten Bedingungen unseres Programms und den auf der Website verfügbaren Allgemeinen Geschäftsbedingungen für Dienstleistungen.
Geltungsbereich
Wir freuen uns über Berichte zu allen sicherheitsrelevanten Problemen oder Schwachstellen, die Sie auf unserer Website finden. Greifen Sie jedoch bitte nicht auf Phishing, Spamming oder andere fragwürdige Methoden zurück, die unsere Nutzer belästigen oder ihre Daten gefährden, ein erhebliches Verkehrsaufkommen erzeugen oder Störungen auf unserer Website verursachen könnten. Die Verwendung automatischer Sicherheitsscan-Tools ist erlaubt, solange sie keine Probleme verursachen.
Kopfgeld
Die Mindestprämie beträgt $100 für Sicherheitslücken. Die Belohnung hängt von der Schwere der Sicherheitslücke ab. Probleme, die keine Auswirkungen auf die Sicherheit haben, kommen für eine Prämie nicht in Frage, sind aber dennoch willkommen und werden wie jede andere Meldung behandelt.
Teilnahmeberechtigung
- Sie müssen die Sicherheitslücke als Erster melden.
- Sie greifen nicht auf die Daten anderer Benutzer zu und verwenden ausschließlich Ihre selbst erstellten Konten.
- Sie dürfen die Sicherheitslücke nicht öffentlich bekannt machen, bevor wir sie behoben haben.
- Sie stellen einen funktionierenden Konzeptnachweis zur Verfügung, der die Sicherheitslücke ausnutzt.
- Der Bericht über die Sicherheitslücke wird mit PGP verschlüsselt (Details siehe unten; siehe: Kontaktaufnahme)
Ausschluss
Anmeldung/Abmeldung CSRF
DDoS
Social Engineering bei Kunden oder Mitarbeitern der HOT Group AG
Self-XSS (wir verlangen einen Nachweis, wie der XSS zum Angriff auf einen anderen Algolia-Benutzer verwendet werden kann)
Missachtung von Ratenlimits
Bericht von automatisierten Tools und Scans
Schwachstellen beim Versenden von Spam oder unautorisierten Nachrichten
Bugs in Software von Drittanbietern
X-Frame-Options bezogen
Im Zusammenhang mit HSTS
DNSSEC
Fehlende Sicherheits-Header, die nicht direkt zu einer Sicherheitslücke führen
Physische Angriffe auf die Infrastruktur
Theoretische Angriffe
Aufbrechen des SSL/TLS-Vertrauens
Kompromittierung des Browsers/Geräts (z. B. gemeinsame Nutzung eines Computers, physischer Zugriff auf das Gerät eines Nutzers, ...)
Schwachstellen, die nur Benutzer veralteter oder nicht gepatchter Browser und Plattformen betreffen
Richtlinien zur Wiederherstellung von Passwörtern und Konten, z. B. Ablauf des Reset-Links oder Passwortkomplexität
Schwachstellen ohne Lösung auf unserer Seite (HEIST, ...)
Veraltete DNS-Einträge, die auf ein System verweisen, das nicht uns gehört
Eigentümerschaft und Anreiz
Jede Meldung, die Sie uns zukommen lassen, geht in unser Eigentum über, und wir sind nicht verpflichtet, auf eine Meldung zu reagieren. Wenn wir jedoch auf einen Bericht reagieren, können wir Ihnen nach eigenem Ermessen eine monetäre oder nicht-monetäre Entschädigung gewähren, um Ihnen unsere Wertschätzung für Ihre Hilfe zu zeigen. Sie sind für alle Steuern und alle Ausgaben, Kosten oder Gebühren im Zusammenhang mit Ihrer Teilnahme am Programm und jeder Belohnung verantwortlich.
Gewährleistungsausschlüsse
SIE ERKENNEN AUSDRÜCKLICH AN UND STIMMEN ZU, DASS: (1) IHRE TEILNAHME AM PROGRAMM UND DIE VERWENDUNG VON PRÄMIEN ERFOLGT AUF IHR EIGENES RISIKO. HOT GROUP AG SCHLIESST AUSDRÜCKLICH ALLE GARANTIEN JEGLICHER ART AUS, OB AUSDRÜCKLICH ODER STILLSCHWEIGEND, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF DIE STILLSCHWEIGENDE GARANTIE DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN. HOT GROUP AG LEHNT INSBESONDERE JEDE HAFTUNG FÜR HANDLUNGEN AB, DIE SICH AUS IHRER TEILNAHME AM PROGRAMM ODER DER NUTZUNG EINER PRÄMIE ERGEBEN.
Letzter Hinweis
Wir bitten Sie, die Grundsätze der verantwortungsvollen Offenlegung zu befolgen und unserem Entwicklungsteam eine angemessene Zeit zu geben, um auf das eingereichte Problem zu reagieren und es zu korrigieren, bevor Sie es öffentlich machen. Wir bitten Sie, mit uns in Bezug auf die Veröffentlichung offen zu kommunizieren, damit wir uns über den Bericht und den Zeitplan einig sind.
Vielen Dank, wir wissen Ihre Bemühungen wirklich zu schätzen! Viel Spaß beim Hacken!