Die Sicherheit von Daten, die uns unsere Kunden anvertraut haben, genießt bei uns höchste Priorität. Deswegen haben wir uns entschieden, durch das Bounty-Programm auch unabhängige Sicherheitsexperten dazu einzuladen, uns bei der stetigen Verbesserung unserer Sicherheitssysteme zu helfen.
Im Fokus des Bug-Bounty-Programms stehen derzeit lediglich Webanwendungen im eingeloggten Zustand, von denen Kundendaten verarbeitet werden. Also z. B. Produkte wie E-Mail, Kalender oder Cloud-Speicher inklusive deren Authentifizierungssystemen.
Alle anderen Systeme sind für das Programm nicht relevant. Wir freuen uns natürlich über damit in Verbindung stehende Meldungen, können diese jedoch leider nicht monetär berücksichtigen.
Sollten Sie eine Schwachstelle gefunden haben, sich aber unsicher sein, ob diese für das Bug-Bounty-Programm relevant ist, senden Sie uns an die untenstehende E-Mail-Adresse eine E-Mail mit dem vollständigen Domain-Namen des betroffenen Systems. Wir werden Ihnen schnellstmöglich antworten.
Für das Bug Bounty-Programm sind ausschließlich Meldungen von ausnutzbaren Schwachstellen relevant, die für die Vertraulichkeit oder Integrität persönlicher/ personenbezogener Daten unserer Nutzer ein Risiko darstellen.
Die jeweilige Prämienhöhe richtet sich nach der Auswirkung der identifizierten Schwachstelle.
Es folgen beispielhaft typische Schwachstellen, die als nicht relevant eingestuft werden:
Wenn Sie eine Schwachstelle in einem unserer Systeme gefunden haben (und beides wie oben beschrieben im Scope ist), schicken Sie uns bitte Ihren Bericht an diese Adresse: report@bugbounty.web.de
Der Bericht muss folgendes beinhalten:
Die Belohnung wird unter folgenden Bedingungen ausgezahlt: