Responsible Disclosure Statement
Bei Conceptboard hat die Sicherheit unserer Systeme oberste Priorität. Egal, wie viel Aufwand wir in die Systemsicherheit stecken, können Schwachstellen vorhanden sein. Solltest Du eine Schwachstelle entdecken, würden wir gerne davon erfahren. Nur so können wir entsprechende Maßnahmen ergreifen, um sie zu beheben. Hilf uns dabei, unsere Systeme und unsere Kunden zu schützen.
Unser Versprechen
- Wir werden Deine Meldung innerhalb von 5 Werktagen bewerten und beantworten.
- Wir geben Deine personenbezogenen Daten nicht ohne Deine Zustimmung an Dritte weiter, es sei denn, dies ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich.
- Eine anonyme oder pseudonymisierte Meldung ist möglich.
- Wir werden Dich über den Fortschritt bei der Lösung des Problems auf dem Laufenden halten.
- Wenn Du die obigen Anweisungen befolgt hast, werden wir keine rechtlichen Schritte gegen Dich bezüglich der Meldung einleiten.
- Wir werden Dich in öffentlichen Mitteilungen als Entdecker des gemeldeten Problems nennen (sofern nicht anders gewünscht).
Schwachstelle gefunden? Was jetzt zu tun ist
Zögere nicht: Lass uns wissen, was Sache ist und übermittle Deine Ergebnisse über die folgende Schaltfläche. Wenn Dein Schwachstellenbericht gültig ist, möchten wir Dir danken und Dich für Deinen wertvollen Beitrag anerkennen. Dazu nehmen wir Dich gerne namentlich oder anonym in unsere Conceptboard Hall of Fame auf. Selbstverständlich nehmen wir Dich nur dann in unsere „Hall of Fame“ auf, wenn Du dies ausdrücklich wünschst.
Do’s und Dont’s als Teil unseres Bug Bounty Programms
- Teste nur auf In-Target-Domains: https://bounty.conceptboard.com
- Melde die Schwachstelle so schnell wie möglich, um das Risiko zu minimieren, dass feindliche Akteure diese finden und missbrauchen.
- Melde die Schwachstelle auf vertraulichem Wege, sodass Dritten keinen Zugang zu den Informationen erhalten.
- Stelle ausreichend Informationen bereit, damit wir das Problem reproduzieren und lösen können. In der Regel genügen die IP-Adresse oder die URL des betroffenen Systems sowie eine Beschreibung der Schwachstelle. Komplexe Schwachstellen erfordern jedoch möglicherweise eine detailliertere Erklärung.
- Zeige die Schwachstelle oder das Problem keinen Dritten, bevor sie behoben wurde.
- Vermeide es, eine eigene Hintertür zu öffnen, um diese zum Aufzeigen der Schwachstelle zu verwenden. Dies kann zusätzlichen Schaden anrichten und unnötige Sicherheitsrisiken schaffen.
- Nutze keine Schwachstelle weiter als nötig, um ihre Existenz nachzuweisen.
- Kopiere, ändere oder lösche keine Daten auf dem System. Eine Alternative dazu ist das Erstellen einer Verzeichnisliste des Systems.
- Nimm keine Änderungen am System vor.
- Verschaffe Dir keinen wiederholten Zugriff auf das System und teile den Zugriff nicht mit anderen.
- Verwende keine Brute-Force-Angriffe, Angriffe auf die physische Sicherheit, Social Engineering, Distributed Denial of Service, Spam oder Anwendungen von Drittanbietern, um Zugriff auf das System zu erhalten.