Responsible Disclosure – Meldung von Sicherheitslücken

Du kannst Schwachstellen in unseren Diensten melden. Beispiele hierfür sind:

• Cross-Site-Scripting-(XSS)-Schwachstellen
• SQL-Injection-Schwachstellen
• Schwachstellen in der Konfiguration sicherer Verbindungen

Diese Coordinated Vulnerability Disclosure (CVD) ist nicht für die Meldung von Beschwerden vorgesehen. Ebenso ist sie nicht gedacht für Meldungen über:

• Websites oder Dienste, die nicht verfügbar sind
• Funktionen von Websites oder Diensten, die nicht oder fehlerhaft funktionieren
• Betrug
• Spam- oder Phishing-E-Mails
• Schwachstellenmeldungen ohne ausreichende Informationen

• Melde die Schwachstelle so schnell wie möglich über das Formular am Ende dieser Seite oder per E-Mail an[email protected]. Wir unterstützen verschlüsselte E-Mails mit PGP. Der öffentliche Schlüssel kann hier heruntergeladen werden: https://gomonta.com/pgp.txt
• Stelle ausreichend Informationen bereit, damit wir das Problem reproduzieren können. In den meisten Fällen reichen die IP-Adresse oder URL des betroffenen Systems sowie eine Beschreibung der Schwachstelle aus. Bei komplexeren Schwachstellen können zusätzliche Informationen erforderlich sein. Beschreibe bitte auch die potenziellen Auswirkungen der Schwachstelle.
• Nutze die Schwachstelle nur in dem Umfang aus, der notwendig ist, um ihre Existenz zu bestätigen. Vermeide dabei jegliche Verletzung der Privatsphäre, Beeinträchtigung der Nutzererfahrung, Störung von Produktionssystemen oder Zerstörung bzw. Manipulation von Daten.
• Missbrauche die Schwachstelle nicht, indem du beispielsweise mehr Daten herunterlädst als zum Nachweis erforderlich oder Daten Dritter einsiehst, löschst oder veränderst.
• Gib uns eine angemessene Frist zur Behebung der Schwachstelle. Teile Informationen über das Sicherheitsproblem nicht mit Dritten, bevor die Schwachstelle behoben wurde.
• Lösche alle vertraulichen Daten, die du im Rahmen deiner Untersuchung erhalten hast, unmittelbar nach der Meldung.

• Wir reagieren innerhalb von 10 Arbeitstagen auf deine Meldung und informieren dich über unsere Bewertung sowie einen voraussichtlichen Termin für die Behebung.
• Wir behandeln deine Meldung vertraulich und geben personenbezogene Daten ohne deine Zustimmung nicht an Dritte weiter, sofern keine gesetzliche Verpflichtung dazu besteht.
• Wir halten dich über den Fortschritt bei der Behebung des Problems auf dem Laufenden.
• Als Dank für deine Unterstützung können wir – abhängig von der Schwere der Schwachstelle und der Qualität der Meldung – eine Belohnung anbieten. Weitere Informationen findest du in den Bedingungen des Belohnungsprogramms.
• Wir bemühen uns, eine mögliche Veröffentlichung der Schwachstelle in enger Abstimmung mit Ihnen vorzunehmen.

Dieses Verfahren gilt für folgende Systeme und Anwendungen von Monta:

• Alle öffentlichen Monta-Domains (z. B. monta.nl, gomonta.com) und deren Subdomains
• MontaWMS
• Monta-Apps und mobile Anwendungen, die offiziell von Monta veröffentlicht wurden

• Systeme von Kunden, Partnern oder Lieferanten
• Produktionsumgebungen, für die keine ausdrückliche Testfreigabe erteilt wurde
• Tests, die zu Störungen unserer Prozesse führen können, wie beispielsweise DDoS-Angriffe oder Brute-Force-Angriffe
• Physische Tests (z. B. Zutritt zu Gebäuden), Social Engineering oder andere nicht-technische Tests

• Monta entscheidet, ob eine Belohnung vergeben wird und welche Art von Belohnung angeboten wird. Grundlage hierfür ist das Risiko der gemeldeten Schwachstelle. Die endgültige Risikobewertung erfolgt durch Monta.
• Um für eine Belohnung in Frage zu kommen, muss eine Meldung korrekt sein und darf zuvor noch nicht gemeldet worden sein.
• Eine Belohnung kann bestehen aus:
  • einer Erwähnung in der Hall of Fame, die auf dieser Seite und in unserer security.txt veröffentlicht wird (selbstverständlich nur mit Zustimmung der meldenden Person)
  • einer Kaffeetasse
  • einem T-Shirt
  • Geschenkgutscheinen bis zu einem Wert von 250 €
• Belohnungen werden nicht vergeben, wenn die Regeln dieses Programms nicht eingehalten werden.
• Wenn eine Meldung keine tatsächliche Schwachstelle betrifft oder nur ein geringes Risiko darstellt, wird ebenfalls keine Belohnung vergeben. Beispiele dafür sind in den Ausnahmen des Belohnungsprogramms aufgeführt.
• Wenn mehrere Meldungen zur gleichen Schwachstelle eingehen, wird die Belohnung der ersten Person zuerkannt, die diese Schwachstelle gemeldet hat. Monta entscheidet, ob es sich um doppelte Meldungen handelt und gibt dazu keine weiteren inhaltlichen Informationen weiter.
• Eine Belohnung wird jeweils nur an eine Person vergeben.
• Belohnungen, die in der Vergangenheit vergeben wurden, bieten keine Garantie für zukünftige Belohnungen.
• Anonyme Meldungen sind von der Teilnahme am Belohnungsprogramm ausgeschlossen.

Monta kann entscheiden, eine Meldung nicht zu belohnen, wenn es sich um eine Schwachstelle mit geringem oder akzeptiertem Risiko handelt. Beispiele hierfür sind:

• HTTP-404-Statuscodes oder andere Statuscodes ungleich HTTP 200
• das Hinzufügen von einfachem Text auf 404-Seiten
• Versionsbanner auf öffentlich erreichbaren Services
• öffentlich zugängliche Dateien oder Verzeichnisse mit nicht sensiblen Informationen
• Clickjacking auf Seiten ohne Login-Funktion
• Cross-Site Request Forgery (CSRF) bei Formularen, die anonym zugänglich sind
• fehlende Secure- oder HTTPOnly-Flags bei nicht sensiblen Cookies
• Verwendung der HTTP-Methoden OPTIONS oder TRACE
• Host Header Injection
• fehlende SPF-, DKIM- oder DMARC-Records
• fehlendes DNSSEC
• Ebenso können fehlende oder fehlerhaft konfigurierte HTTP-Sicherheitsheader von einer Belohnung ausgeschlossen werden, darunter:
  • Strict-Transport-Security (HSTS)
  • Strict-Transport-Security (HSTS)
  • HTTP Public Key Pinning (HPKP)
  • Content-Security-Policy (CSP)
  • X-Content-Type-Options
  • X-Frame-Options
  • X-XSS-Protection
  • Referrer-Policy

Fragen zu dieser Richtlinie können an [email protected] gesendet werden. Auch Hinweise oder Vorschläge zur Verbesserung dieser Richtlinie sind jederzeit willkommen.