Richtlinie zur Offenlegung von Sicherheitslücken 

1. Einleitung

Bei Bomdiu nehmen wir Sicherheit ernst und schätzen die Beiträge von Sicherheitsforschern und der breiteren Sicherheitsgemeinschaft, die uns helfen, die Sicherheit und Integrität unserer Systeme aufrechtzuerhalten. Diese Richtlinie zur Offenlegung von Sicherheitslücken beschreibt die Richtlinien für die Meldung von Sicherheitslücken an uns.

2. Geltungsbereich

Diese Richtlinie gilt für alle Sicherheitslücken, die in den öffentlich zugänglichen Diensten von Bomdiu gefunden werden, einschließlich unserer Website, APIs und aller anderen Systeme, die Eigentum von Bomdiu sind und von Bomdiu betrieben werden.

Außerhalb des Geltungsbereichs

Folgendes wird als außerhalb des Geltungsbereichs dieser Richtlinie betrachtet:

  • Schwachstellen in Diensten oder Anwendungen von Drittanbietern, die nicht unter der direkten Kontrolle von Bomdiu stehen.
  • Social-Engineering-Angriffe, einschließlich Phishing unserer Mitarbeiter oder Auftragnehmer.
  • Physische Sicherheit unserer Büros oder Rechenzentren.
  • Berichte von automatisierten Scannern ohne einen Proof of Concept, der eine bestimmte Schwachstelle demonstriert.
  • Volumetrische Denial-of-Service-Angriffe.

3. Richtlinien für verantwortungsvolle Offenlegung

Wir bitten Sicherheitsforscher, sich bei der Meldung von Schwachstellen an die folgenden Richtlinien zu halten:

  • Handeln Sie in gutem Glauben und vermeiden Sie Verstöße gegen Gesetze oder Datenschutzverletzungen.
  • Führen Sie keine Angriffe durch, die unsere Dienste stören könnten, einschließlich Denial-of-Service (DoS), Spam oder Social Engineering.
  • Greifen Sie nicht auf Daten zu, ändern oder löschen Sie diese nicht, die Ihnen nicht gehören.
  • Geben Sie einen klaren und detaillierten Bericht mit Schritten zur Reproduktion der Schwachstelle, einschließlich eines relevanten Proof of Concept.
  • Melden Sie Schwachstellen umgehend und geben Sie uns angemessene Zeit, um das Problem zu untersuchen und zu beheben, bevor es öffentlich bekannt gegeben wird.

4. Meldeprozess

Wenn Sie eine Sicherheitslücke entdeckt haben, melden Sie diese bitte per E-Mail an security@bomdiu.com mit den folgenden Details:

  • Eine Beschreibung der Schwachstelle.
  • Schritte zur Reproduktion des Problems.
  • Mögliche Auswirkungen der Schwachstelle.
  • Alle unterstützenden Materialien (z. B. Screenshots, Protokolle, Proof-of-Concept-Code).

Wir bemühen uns, den Erhalt Ihres Berichts innerhalb von 2 Werktagen zu bestätigen und innerhalb von 5 Werktagen eine erste Einschätzung abzugeben. Wir werden Sie über unsere Fortschritte informieren, während wir das Problem untersuchen und beheben.

5. Unser Engagement

Sobald Sie einen Bericht eingereicht haben, verpflichten wir uns zu Folgendem:

  • Wir werden Ihren Bericht umgehend bestätigen.
  • Wir werden mit Ihnen zusammenarbeiten, um Ihre Ergebnisse zu verstehen und zu validieren.
  • Wir werden angemessene Schritte unternehmen, um die Schwachstelle zeitnah zu beheben.
  • Wir werden während des gesamten Prozesses eine offene Kommunikationslinie mit Ihnen aufrechterhalten.

6. Anerkennung

Bomdiu bietet keine finanziellen Belohnungen oder Entschädigungen für die Offenlegung von Sicherheitslücken an. Wir schätzen jedoch die Beiträge von Sicherheitsforschern sehr. Wir können für bedeutende und verantwortungsbewusst offengelegte Schwachstellen mit Ihrer Erlaubnis eine öffentliche Anerkennung anbieten.

7. Rechtliche Erwägungen

Durch das Einreichen eines Berichts erklären Sie sich damit einverstanden, rechtswidrige Aktivitäten zu vermeiden und ethische Offenlegungspraktiken zu befolgen. Bomdiu wird keine rechtlichen Schritte gegen Forscher einleiten, die in gutem Glauben handeln und diese Richtlinie einhalten.

8. Fazit

Wir schätzen die Bemühungen von Sicherheitsforschern, die Dienste von Bomdiu sicherer zu machen. Wenn Sie Fragen zu dieser Richtlinie haben, kontaktieren Sie uns bitte unter security@bomdiu.com.

Vielen Dank, dass Sie uns helfen, die Sicherheit unserer Systeme aufrechtzuerhalten.