Sicherheit

Das Bug Bounty Programm der BurdaForward

Das Bug Bounty Programm der BurdaForward
Um die bestmögliche Sicherheit auf unseren Plattformen zu garantieren, benötigen wir DEINE Hilfe! In diesem Programm ermöglichen wir Sicherheitsforschern (unter Voraussetzung der unten genannten Regeln), Sicherheitslücken und Schwachstellen in unseren Services zu melden und diese mit einer Belohnung in Form einer monetären Prämie und / oder einem Platz in unserer Hall of Fame zu vergüten.

Regeln:
Responsible Disclosure ("Verantwortungsvolle Offenlegung"):

  • Bitte beachte, dass wir für die Evaluation und die Überprüfung deines Berichts einen angemessenen Zeitraum benötigen. Wir benachrichtigen dich, sobald dein geeigneter Bericht diese Prozesse durchlaufen hat.
  • Unter keinen Umständen sollen die Integrität und die Verfügbarkeit unserer Dienste während deiner Nachforschungen eingeschränkt werden
  • Das Veröffentlichen oder Weitergeben von noch bestehenden Schwachstellen oder Daten unserer Nutzer kann strafrechtliche Konsequenzen nach sich ziehen.

In-Scope Domains:
*.focus.de/
*.chip.de/
*.efahrer.chip.de
*.netmoms.de/
*.finanzen100.de/
*.bestcheck.de
*.burda-forward.de
*.cardscout.de

In-Scope applications:

FOCUS Online - Nachrichten
https://play.google.com/store/apps/details?id=de.cellular.focus
https://itunes.apple.com/de/app/focus-online-nachrichten/id519052678?mt=8

FOCUS Online - Top Nachrichten
https://play.google.com/store/apps/details?id=de.focus.topnews

CHIP - News, Tests & Beratung
https://play.google.com/store/apps/details?id=de.focus.topnews

CHIP News
https://play.google.com/store/apps/details?id=de.chip.news

CHIP
https://play.google.com/store/apps/details?id=air.de.chip.chip     
https://itunes.apple.com/de/app/chip-online/id680464707?mt=8

Finanzen100 Börse & Aktien
https://play.google.com/store/apps/details?id=de.finanzen100
https://itunes.apple.com/de/app/aktien-finanznachrichten-b%C3%B6rse-finanzen100/id375311971?mt=8

Währungsrechner - Finanzen100
https://play.google.com/store/apps/details?id=de.finanzen100.currencyconverter https://itunes.apple.com/de/app/w%C3%A4hrungsrechner-finanzen100/id526034071?mt=8

BestCheck
https://play.google.com/store/apps/details?id=de.bestcheck.app&hl=de
https://itunes.apple.com/de/app/bestcheck/id1112581368?mt=8

Out-of-Scope Schwachstellen:

  • DDos Angriffe
  • Spamming
  • Phishing
  • Social Engineering
  • Physischer Zugriff auf eines unserer Geräte oder unserer Räumlichkeiten
  • Bugs, welche sicherheitstechnisch keine Relevanz besitzen
  • Self ? XSS
  • Default files available via web (e.g. README.txt, CHANGES.txt, etc.)
  • HTTP 404 codes / pages or other non-200 codes / page
  • CSRF on forms that are available to anonymous users, for example contact forms
  • Offenlegung von öffentlich bekannten Dateien oder Directories (e.g. robots.txt)
  • HTTPS mixed content scripts
  • TLS /SSL
  • http security headers
  • Open Redirects
  • Vulnerability Third-Party (e.g. CDN)
  • Fehlende SPF oder DMARC records
  • Ergebnisse eines automatischen Scantools ohne ein PoC
  • Bugs, welche eine unwahrscheinliche User-Interaktion voraussetzen

Weitere, nicht anerkannte Methoden:

  • Einreichen einer bereits öffentlich gemachten Schwachstelle
  • Der Zugriff auf ein Benutzerkonto ohne das Einverständnis des Benutzers
  • Die Wahrscheinlichkeit eines Exploits ist sehr gering
  • Berichte, welche nicht den Berichtsrichtlinien entsprechen

Berichtsrichtlinien:
Dein Bericht muss enthalten:

  • Nur EINE Schwachstelle pro Bericht
  • Einen Titel (Der Typ der Schwachstelle und die dazugehörige Subdomain oder Domain)
  • Eine präzise Beschreibung der zu reproduzierenden Schritte (Screenshots könnten hilfreich sein)
  • Ein realistisches Konzept der Ausnutzbarkeit und der Auswirkung (Exploitability and Impact)
  • Berichte über Applikationen: Füge dein OS und die Version hinzu
  • Optional: Füge deinen (Nick)Namen und einen Link zu deinem Twitter/ GitHub/ XING oder Website hinzu, die man in unserer Hall of Fame sehen soll.
  • Beachte: Dein Bericht muss prägnant und reproduzierbar sein!

Belohnung:
Die Mindestbelohnung für jeden anerkannten Bericht ist die Aufnahme in usere Hall of Fame. Die einer monetären Belohnung ergibt sich individuell aus der Schwere und den potentiellen Auswirkungen der Schwachstelle und aus der Qualität deines eingereichten Berichtes. Der Empfänger ist für die korrekte Versteuerung seiner Belohnung verantwortlich.

Einreichen deines Berichtes:

Solltest du noch weitere Fragen haben kannst du uns kontaktieren unter security@burda-forward.de. Bitte beachte, dass unsere Scopes nicht statisch sind und regelmäßig von uns ein Update erfahren können.