Responsible Disclosure
Wir betrachten die Sicherheit unserer Systeme als oberste Priorität. Aber egal, wie viel Aufwand wir in die Systemsicherheit stecken, können dennoch Schwachstellen vorhanden sein. Falls Sie eine Schwachstelle entdecken, möchten wir gerne davon erfahren, damit wir sie so schnell wie möglich beheben können. Wir bitten Sie, uns zu helfen, unsere Kunden und unsere Systeme noch besser zu schützen.
Bitte beachten Sie folgende Schritte:
- Senden Sie Ihre Erkenntnisse per E-Mail an disclosure@testfabrik.com.
- Nutzen Sie die entdeckte Schwachstelle oder das Problem nicht aus, z. B. indem Sie mehr Daten herunterladen, als nötig ist, um die Schwachstelle nachzuweisen, oder Daten anderer Personen löschen oder ändern.
- welche Browserversion und Betriebssystem verwendet werden
- Anonymisierte IP-Adresse (es werden nur die ersten 16 Bits erfasst)
- die ungefähre Position des zugreifenden Systems zu einer Genauigkeit der Stadt und dem Land
- die ungefähre Verweildauer auf den unterschiedlichen Subseiten
- welche Browser-APIs zur Verfügung stehen.
Was wir versprechen:
- Wir werden innerhalb von 10 Werktagen auf Ihren Bericht reagieren und Ihnen unsere Bewertung sowie ein voraussichtliches Datum für die Behebung mitteilen.
- Wenn Sie sich an die oben genannten Anweisungen halten, werden wir keine rechtlichen Schritte gegen Sie in Bezug auf den Bericht einleiten.
- Wir behandeln Ihren Bericht streng vertraulich und geben Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weiter.
- Wir halten Sie über den Fortschritt bei der Behebung des Problems auf dem Laufenden.
- In den öffentlichen Informationen zu dem gemeldeten Problem nennen wir Sie als Entdecker des Problems (es sei denn, Sie wünschen dies nicht).
- Als Zeichen unserer Dankbarkeit für Ihre Unterstützung bieten wir eine Belohnung für jeden Bericht über ein Sicherheitsproblem, das uns noch nicht bekannt war. Die Höhe der Belohnung wird anhand der Schwere des Problems und der Qualität des Berichts festgelegt. Mitarbeitende der Testfabrik sind von dieser Regelung ausgeschlossen.
Wir streben an, alle Probleme so schnell wie möglich zu lösen, und möchten eine aktive Rolle bei der endgültigen Veröffentlichung des Problems nach dessen Behebung spielen.