WEB.DE WEB.DE Bug-Bounty WEB.DE Startseite
  1. WEB.DE
  2. Bug-Bounty
  3. Regeln

Die Sicherheit von Daten, die uns unsere Kunden anvertraut haben, genießt bei uns höchste Priorität. Deswegen haben wir uns entschieden, durch das Bounty-Programm auch unabhängige Sicherheitsexperten dazu einzuladen, uns bei der stetigen Verbesserung unserer Sicherheitssysteme zu helfen.

Relevante Systeme

Im Fokus des Bug-Bounty-Programms stehen derzeit lediglich Webanwendungen im eingeloggten Zustand, von denen Kundendaten verarbeitet werden. Also z. B. Produkte wie E-Mail, Kalender oder Cloud-Speicher inklusive deren Authentifizierungssystemen.

Alle anderen Systeme sind für das Programm nicht relevant. Wir freuen uns natürlich über damit in Verbindung stehende Meldungen, können diese jedoch leider nicht monetär berücksichtigen.

Sollten Sie eine Schwachstelle gefunden haben, sich aber unsicher sein, ob diese für das Bug-Bounty-Programm relevant ist, senden Sie uns an die untenstehende E-Mail-Adresse eine E-Mail mit dem vollständigen Domain-Namen des betroffenen Systems. Wir werden Ihnen schnellstmöglich antworten.

Relevante Schwachstellen

Für das Bug Bounty-Programm sind ausschließlich Meldungen von ausnutzbaren Schwachstellen relevant, die für die Vertraulichkeit oder Integrität persönlicher/ personenbezogener Daten unserer Nutzer ein Risiko darstellen.

Die jeweilige Prämienhöhe richtet sich nach der Auswirkung der identifizierten Schwachstelle.

Welche Schwachstellen sind nicht im Scope?

Es folgen beispielhaft typische Schwachstellen, die als nicht relevant eingestuft werden:

  • Produkt-Features (zum Beispiel Datenaustausch, SPAM-bezogene Themen)
  • Malware-bezogene Themen (z. B. versenden von Malware)
  • Schwachstellen, die nicht direkt ausgenutzt werden können (z. B. fehlende Security Header oder Information Disclosure)
  • Schwachstellen, die man nur mit einem physischen oder logischen Zugriff auf das Konto oder Gerät des Opfers ausnutzen kann (z. B. "Self-XSS")
  • Schwachstellen, die nur die Verfügbarkeit von Diensten/Daten betreffen (z. B. "Logout-CSRF")

Schwachstelle melden

Wenn Sie eine Schwachstelle in einem unserer Systeme gefunden haben (und beides wie oben beschrieben im Scope ist), schicken Sie uns bitte Ihren Bericht an diese Adresse: report@bugbounty.web.de

Der Bericht muss folgendes beinhalten:

  • Beschreibung des Sachverhalts/ der Schwachstelle sowie den damit verbundenen Schritten, durch die wir die Schwachstelle reproduzieren können ("Proof of concept")
  • Beschreibung des aus der Schwachstelle resultierenden Risikos für die Daten unserer Nutzer

Bedingungen des Programms

Die Belohnung wird unter folgenden Bedingungen ausgezahlt:

  • Sie haben eine Schwachstelle auf einem System gefunden, das im Scope ist (wie oben erklärt)
  • Sie haben uns einen validen Bericht mit allen geforderten Angaben zukommen lassen
  • Sie halten sich an "Responsible Disclosure"-Prinzipien - Sie geben uns vor allem die nötige Zeit um den Fehler zu beheben, bevor Sie darüber öffentlich berichten
  • Sie vermeiden die Gefährdung von echten Nutzerdaten. Bitte verwenden sie ausschließlich Testkonten, um die Auswirkung des Fehlers zu demonstrieren
  • Sie sind die erste Person, die uns einen Bericht zur bestimmten Schwachstelle im Produkt zukommen ließ, wobei die Marke des Produkts gleichgültig ist (z. B. die E-Mail-Anwendung von WEB.DE, GMX und mail.com als ein Produkt zählt)
  • Ausgeschlossen vom Programm sind Mitarbeiter, ehemalige Mitarbeiter (und deren Angehörige) von United Internet AG und deren Tochtergesellschaften.