Das Bug-Bounty-Programm von BurdaForward

Um die bestmögliche Sicherheit auf unseren Plattformen zu garantieren, benötigen wir Deine Hilfe. Mit diesem Programm ermöglichen wir Sicherheitsforschern, unter Voraussetzung der unten genannten Regeln, Sicherheitslücken und Schwachstellen in unseren Services zu melden. Diese vergüten wir mit einer Belohnung in Form einer monetären Prämie und/oder einem Platz in unserer Hall of Fame.

Hall of Fame

Maciej Nowak

Ankit Thakur (Rudra16)
Hari Prasad

Rajesh Tewari

Tinu Tomy

Kunal Bahl

 

Regeln

Responsible Disclosure („Verantwortungsvolle Offenlegung“):

Bitte beachte, dass wir für die Evaluation und die Überprüfung Deines Berichts einen angemessenen Zeitraum benötigen. Wir benachrichtigen Dich, sobald Dein geeigneter Bericht diese Prozesse durchlaufen hat. Unter keinen Umständen sollen die Integrität und die Verfügbarkeit unserer Dienste während Deiner Nachforschungen eingeschränkt werden. Das Veröffentlichen oder Weitergeben von noch bestehenden Schwachstellen oder Daten unserer Nutzer kann strafrechtliche Konsequenzen nach sich ziehen.

In-Scope Domains

 

In-Scope applications

FOCUS Online – Nachrichten
Im Google Play Store
Im App Store

FOCUS Online – Top Nachrichten
Im Google Play Store

​​CHIP – News, Tests & Beratung
Im Google Play Store

CHIP
Im Google Play Store
Im App Store

Finanzen100 Börse & Aktien
Im Google Play Store
Im App Store

Währungsrechner – Finanzen100
Im Google Play Store
Im App Store

BestCheck
Im Google Play Store
Im App Store
 

Out-of-Scope Schwachstellen

  • Reflected XSS
  • DDos Angriffe
  • Spamming
  • Phishing
  • Social Engineering
  • Physischer Zugriff auf eines unserer Geräte oder unserer Räumlichkeiten
  • Bugs, welche sicherheitstechnisch keine Relevanz besitzen
  • Self – XSS
  • Default files available via web (e.g. README.txt, CHANGES.txt, etc.)
  • HTTP 404 codes / pages or other non-200 codes / page
  • CSRF on forms that are available to anonymous users, for example contact forms
  • Offenlegung von öffentlich bekannten Dateien oder Directories (e.g. robots.txt)
  • HTTPS mixed content scripts
  • TLS /SSL
  • http security headers
  • Open Redirects
  • Vulnerability Third-Party (e.g. CDN)
  • Fehlende SPF oder DMARC records
  • Ergebnisse eines automatischen Scantools ohne ein PoC
  • Bugs, welche eine unwahrscheinliche User-Interaktion voraussetzen

 

Weitere, nicht anerkannte Methoden

  • Einreichen einer bereits öffentlich gemachten Schwachstelle
  • Der Zugriff auf ein Benutzerkonto ohne das Einverständnis des Benutzers
  • Die Wahrscheinlichkeit eines Exploits ist sehr gering
  • Berichte, welche nicht den Berichtsrichtlinien entsprechen

 

Berichtsrichtlinien

Wichtig: Dein Bericht muss zwingend mit unserem PGP-Key verschlüsselt sein. Unverschlüsselte E-Mails entsprechen nicht unseren Berichtsrichtlinien und werden demnach nicht begutachtet und überprüft.

Was Dein Bericht enthalten muss:

  • Nur EINE Schwachstelle pro Bericht
  • Einen Titel (der Typ der Schwachstelle und die dazugehörige Subdomain oder Domain)
  • Eine präzise Beschreibung der zu reproduzierenden Schritte (Screenshots könnten hilfreich sein)
  • Ein realistisches Konzept der Ausnutzbarkeit und der Auswirkung (Exploitability and Impact)
  • Berichte über Applikationen: Füge Dein OS und die Version hinzu.
  • Optional: Füge Deinen (Nick)Namen und einen Link zu Deinem Twitter/ GitHub/ XING oder Deiner Website hinzu, die man in unserer Hall of Fame sehen soll.
  • Beachte: Dein Bericht muss prägnant und reproduzierbar sein!

 

Belohnung

Die Mindestbelohnung für jeden anerkannten Bericht ist die Aufnahme in unsere Hall of Fame. Die Höhe einer monetären Belohnung ergibt sich individuell aus der Schwere und den potentiellen Auswirkungen der Schwachstelle und aus der Qualität Deines eingereichten Berichtes. Der Empfänger ist für die korrekte Versteuerung seiner Belohnung verantwortlich.

Einreichen Deines Berichtes

Sende Deinen Bericht in einer verschlüsselten E-Mail an security@​burda-forward.de
Nutze zur Verschlüsselung unseren Public PGP-Key.

Solltest Du noch weitere Fragen haben kannst Du uns unter security@​burda-forward.de kontaktieren. Bitte beachte, dass unsere Scopes nicht statisch sind und regelmäßig ein Update von uns erfahren können.

Stand: 18.02.2019