Responsible Disclosure

CCV Group legt großen Wert auf die Sicherheit dieser Website. Dennoch lässt es sich trotz unserer Bemühungen, die Sicherheit unserer Informationssysteme zu erhöhen, nicht ausschließen, dass unsere Website Sicherheitsschwachstellen enthält.

Wir legen viel Wert auf die Unterstützung von Sicherheitsanalytikern und Anderen in der Sicherheitsgemeinschaft bei der Verbesserung der Sicherheit unserer Website und arbeiten zum Schutz unserer Kunden und unserer Website gerne mit Ihnen zusammen.

Deshalb unsere Bitte an Sie:

  • Senden Sie uns Ihre Hinweise auf Fehler per E-Mail an security@ccv.eu. Verschlüsseln Sie Ihre Fehlerhinweise mit unserem PGP-Schlüssel, um zu verhindern, dass diese Informationen nicht in die falschen Hände geraten.
  • Missbrauchen Sie das Problem nicht dazu, dass Sie mehr Daten herunterladen als nötig sind, um eine Lücke aufzudecken oder Daten Dritter zu prüfen, zu entfernen oder zu ändern.
  • Geben Sie keine Informationen über das Problem an Dritte weiter, bevor es gelöst ist und löschen Sie alle vertraulichen Daten die Sie aufgrund der Schwachstelle erhalten haben unverzüglich nach Behebung des Problems.
  • Vermeiden Sie jede Art von Angriff/Attacken auf unsere physikalische Sicherheit, Social Engineering, sowie Überlastangriffe (DDoS), Spams oder die Nutzung von Anwendungen Dritter, und
  • stellen Sie uns ausreichend Informationen zur Reproduzierung des Problems zur Verfügung, damit wir es so schnell wie möglich beheben können. Normalerweise ist die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle ausreichend, aber bei komplexeren Sicherheitsrisiken werden detailliertere Informationen benötigt.

Unser Versprechen an Sie:

  • Wir werden innerhalb von 5 Tagen auf Ihre Benachrichtigung antworten.
  • Wir bitten Sie, zu warten bis Sie benachrichtigt werden, dass die Schwachstelle behoben wurde, bevor Sie sie offenlegen.
  • Wenn Sie die oben genannten Bedingungen erfüllt haben, werden wir keine rechtlichen Schritte in Bezug auf die Benachrichtigung unternehmen.
  • Wir behandeln Ihren Bericht vertraulich und geben Ihre persönlichen Daten ohne Ihre Zustimmung nicht an Dritte weiter, sofern dies nicht zur Einhaltung einer gesetzlichen Verpflichtung erforderlich ist. Die Berichterstattung unter einem Pseudonym ist möglich.
  • Wir bieten eine Belohnung für jede Benachrichtigung, die wir als Sicherheitsschwachstelle qualifizieren. Wir bestimmen die Höhe der Belohnung je nach der Schwere der Lücke und der Qualität der Benachrichtigung mit einem Gutschein von mindestens 50 €.

Qualifizierung von Schwachstellen:

Wir haben qualifizierte Schwachstellen folgendermaßen definiert: Sicherheitslücken in Webanwendungen wie:  XSS, XXE, CSRF, SQLi, Local oder Remote File Inclusion, Authentication Issues, Remote Code Execution, sowie Autorisierungsfehler und Privilege Escalation. Diese qualifizierten Schwachstellen müssen sich auf die Sicherheit der Webanwendung und ein erhöhtes Risiko für unsere Kunden auswirken. Sie müssen der erste Analytiker sein, der die Sicherheitsanfälligkeit verantwortungsvoll offenlegt.

Jede Benachrichtigung wird von Fall zu Fall bewertet. Im Folgenden finden Sie eine Liste von Problemen, die nicht als Sicherheitsschwachstellen eingestuft werden:

  • Berichte von alten Softwareversionen.
  • Fehlende Best Practices
  • Verwendung von Komponenten bekannter Sicherheitslücken ohne relevanten POC des Angriffs
  • Automatisierte Werkzeug-Scan-Berichte. Beispiel: Web. SSL/TLS Scan, Nmap Scan Ergebnisse usw.
  • Self-XSS und XSS, die nur veraltete Browser betreffen; UI- und UX-Bugs und Rechtschreibfehler
  • UI und UX Bugs und Rechtschreibfehler
  • TLS/SSL-bezogene Probleme
  • SPF, DMARC, DKIM Konfigurationen
  • Sicherheitsschwachstellen durch veraltete Browser oder Plugins
  • Content-Security Policies (CSP)
  • Schwachstellen in Altprodukten
  • Fehlende Secure Flag bei Cookies
  • Benutzer-Renumeration
  • Schwachstellen, die auf der Existenz von Plugins wie Flash beruhen
  • Fehler, die die Benutzer von veralteten Browsern und Plugins betreffen
  • Fehlende Security Header wie zum Beispiel, jedoch nicht beschränkt auf: „Content-Type-Options“, „X‑XSS-Protection“
  • Fehlende CAPTCHAs als Sicherheitsschutzmechanismus
  • Probleme, die eine installierte bösartige Anwendung auf dem Gerät beinhalten
  • Sicherheitslücken, die ein Jailbroken-Gerät erfordern
  • Sicherheitslücken, die einen physischen Zugriff auf mobile Geräte erfordern
  • Verwendung einer bekanntermaßen anfälligen Bibliothek ohne Nachweis der Nutzbarkeit
  • Click/Tapjacking und UI-Redressing Angriffe, bei denen der Benutzer dazu gebracht wird, auf ein UI-Element zuzugreifen.
  • Host Header und Banner grabbing Probleme
  • Denial of Service- und Distributed Denial of Service Angriffe
  • Rate limiting, brute force Angriffe
  • Login/ logout/ low-business Auswirkung auf CSRF
  • Uneingeschränkter Datei-Upload
  • Session fixation und Session timeout
  • Formel/ CSV Injektion