Bei Conceptboard hat die Sicherheit unserer Systeme oberste Priorität. Egal, wie viel Aufwand wir in die Systemsicherheit stecken, können Schwachstellen vorhanden sein. Sollten Sie eine Schwachstelle entdecken, würden wir gerne davon erfahren. Nur so können wir entsprechende Maßnahmen ergreifen, um sie zu beheben. Helfen Sie uns dabei, unsere Systeme und unsere Kunden zu schützen.
Dieser Artikel ist auch verfügbar in: English
Conceptboard ist Teil des Bug Bounty Programms
Responsible Disclosure Statement
Unser Versprechen
- Wir werden Ihre Meldung innerhalb von 5 Werktagen bewerten und beantworten.
- Wir geben Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weiter, es sei denn, dies ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich.
- Eine anonyme oder pseudonymisierte Meldung ist möglich.
- Wir werden Sie über den Fortschritt bei der Lösung des Problems auf dem Laufenden halten.
- Wenn Sie die obigen Anweisungen befolgt haben, werden wir keine rechtlichen Schritte gegen Sie bezüglich der Meldung einleiten.
- Wir werden Sie in öffentlichen Mitteilungen als Entdecker des gemeldeten Problems nennen (sofern nicht anders gewünscht).
Schwachstelle gefunden? Was jetzt zu tun ist
Zögern Sie nicht: Lassen Sie uns wissen, was Sache ist und übermitteln Sie Ihre Ergebnisse über die folgende Schaltfläche. Wenn Ihr Schwachstellenbericht gültig ist, möchten wir Ihnen danken und Sie für Ihren wertvollen Beitrag anerkennen. Dazu nehmen wir Sie gerne namentlich oder anonym in unsere Conceptboard Hall of Fame auf. Selbstverständlich nehmen wir Sie nur dann in unsere „Hall of Fame“ auf, wenn Sie dies ausdrücklich wünschen.
Do's
- Testen Sie nur auf In-Target-Domains: https://bounty.conceptboard.com
- Melden Sie die Schwachstelle so schnell wie möglich, um das Risiko zu minimieren, dass feindliche Akteure diese finden und missbrauchen.
- Melden Sie die Schwachstelle auf vertraulichem Wege, sodass Dritten keinen Zugang zu den Informationen erhalten.
- Stellen Sie ausreichend Informationen bereit, damit wir das Problem reproduzieren und lösen können. In der Regel genügen die IP-Adresse oder die URL des betroffenen Systems sowie eine Beschreibung der Schwachstelle. Komplexe Schwachstellen erfordern jedoch möglicherweise eine detailliertere Erklärung.
Dont's
- Zeigen Sie die Schwachstelle oder das Problem keinen Dritten, bevor sie behoben wurde.
- Vermeiden Sie es, eine eigene Hintertür zu öffnen, um diese zum Aufzeigen der Schwachstelle zu verwenden. Dies kann zusätzlichen Schaden anrichten und unnötige Sicherheitsrisiken schaffen.
- Nutzen Sie keine Schwachstelle weiter als nötig, um ihre Existenz nachzuweisen.
- Kopieren, ändern oder löschen Sie keine Daten auf dem System. Eine Alternative dazu ist das Erstellen einer Verzeichnisliste des Systems.
- Nehmen Sie keine Änderungen am System vor.
- Verschaffen Sie sich keinen wiederholten Zugriff auf das System und teilen Sie den Zugriff nicht mit anderen.
- Verwenden Sie keine Brute-Force-Angriffe, Angriffe auf die physische Sicherheit, Social Engineering, Distributed Denial of Service, Spam oder Anwendungen von Drittanbietern, um Zugriff auf das System zu erhalten.