Bug Bounty-Programm
Melden Sie Sicherheitslücken, die in Produkten und Diensten von WithSecure gefunden wurden.
WithSecure belohnt Personen, die Sicherheitsschwachstellen in bestimmten WithSecure-Produkten und -Dienstleistungen melden, auch bekannt als "Bug Bounty"-Programm.
Um Missverständnisse und Unklarheiten zu vermeiden, wenden wir die folgenden Leitlinien an, die Sie bitte, auch wenn sie lang sind, vor Ihrer Teilnahme vollständig lesen.
Worum geht es hier?
Wir möchten von allen Sicherheitslücken in unseren Produkten und Dienstleistungen erfahren. Um Sicherheitsforscher zu belohnen, bieten wir Geldprämien für qualifizierte Berichte über Sicherheitslücken an, die uns auf koordinierte Weise mitgeteilt werden. Es gibt jedoch bestimmte Regeln, die befolgt werden müssen, um sicherzustellen, dass Ihre Sicherheitsforschung kein Sicherheitsrisiko für andere Nutzer oder deren Daten darstellt und um die Wahrscheinlichkeit zu verringern, dass Ihre Forschung von unserer Überwachung als böswilliger Einbruchsversuch eingestuft wird. Wir möchten auch bestimmte Aspekte in Bezug auf die Annahme von Berichten und die Auszahlung von Prämien klarstellen, um Überraschungen zu vermeiden.
Eine "Sicherheitslücke" ist definiert als ein Problem, das eine Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit des Dienstes oder der Daten verursacht oder dazu führt, dass personenbezogene Daten (persönlich identifizierbare Informationen) in einer Weise gespeichert oder verarbeitet werden, die nicht mit den geltenden finnischen Datenschutzgesetzen übereinstimmt.
Umfang
Derzeit deckt das Schwachstellen-Belohnungsprogramm nur bestimmte WithSecure-Produkte und -Dienste ab, die in der folgenden Tabelle aufgeführt sind. Wir freuen uns über Meldungen von Sicherheitslücken bei anderen WithSecure-Produkten, -Diensten oder öffentlichen Webseiten. Diese sind jedoch derzeit nicht Teil dieses Prämienprogramms.
| WithSecure Client Security |
| WithSecure Client Security Premium |
| WithSecure Server Security |
| WithSecure Server Security Premium |
| WithSecure E-mail and Server Security |
| WithSecure E-mail and Server Security Premium |
| WithSecure Linux Protection |
| WithSecure Atlant |
| WithSecure PSB Linux Security |
| WithSecure Cloud Protection for Salesforce |
| WithSecure Policy Manager |
| WithSecure Elements EPP for Computers |
| WithSecure Elements EPP for Computers Premium |
| WithSecure Elements EPP for Servers |
| WithSecure Elements EPP for Servers Premium |
| WithSecure Elements Collaboration Protection |
Beschränkungen und unterstützte Versionen
Die aktuellste Version mit dem neuesten Datenbank-Update, das über die WithSecure-Webseiten, den Google Play Store, den Windows Phone Store oder den Apple App Store veröffentlicht wurde. Informationen zur aktuellsten Version finden Sie hier.
Beschränkungen und Reproduzierbarkeit
Browser-seitige Sicherheitsprobleme müssen auf einem HTML5-fähigen Webbrowser reproduzierbar sein. Die Schwachstellen von Mobilgeräte-Clients müssen auf einem nicht gerooteten Gerät mit der aktuellsten, höchstens ein Jahr alten Firmware reproduzierbar sein, die vom Gerätehersteller bereitgestellt wird. Auf Android-Geräten müssen die Google Play Services ab Werk installiert sein. Bei Desktop-Clients muss die Reproduzierbarkeit gegeben sein, ohne dass der Angreifer Administrator- oder Root-Zugriff benötigt und das Betriebssystem mit den aktuellsten Sicherheits-Patches des Herstellers oder der Distribution aktualisiert wurde. Geeignete Client-Fehler müssen im Code enthalten sein, den WithSecure als Teil einer Client-Anwendung liefert. Fehler in Komponenten von Drittanbietern sind generell zulässig, wenn sie als Teil der WithSecure-Client-Anwendung bereitgestellt werden. Probleme, die Fehler der zugrundeliegenden Plattform, des Betriebssystems oder der von der Plattform bereitgestellten Bibliotheken sind, können berücksichtigt werden, sofern sie sich in der WithSecure-Anwendung manifestieren oder auswirken können. Im Falle von Fehlern bei externen Komponenten bieten wir an, die Verantwortung für die rechtzeitige Benachrichtigung der betroffenen Parteien zu übernehmen. Wenn Sie eine Klärung benötigen, kontaktieren Sie uns bitte vorher.
Zulässige Sicherheitsforschung
Wir erlauben nur Sicherheitsforschung, die:
- sich nach Treu und Glauben bemüht, eine Beeinträchtigung von Diensten Dritter oder deren Verfügbarkeit zu vermeiden;
- sich nach Treu und Glauben bemüht, die Konten, persönlichen Daten oder Inhalte anderer Nutzer nicht zu beeinträchtigen oder offenzulegen und die Verfügbarkeit der Dienste für andere Nutzer nicht zu beeinträchtigen;
- nur Benutzerkonten verwendet, die Ihnen persönlich gehören (Sie dürfen mehrere Konten speziell für die Durchführung von Sicherheitsforschung für dieses Schwachstellen-Belohnungsprogramm erstellen);
- zielt nur auf Benutzerkonten, Benutzerdaten oder persönliche Daten ab, die Ihnen persönlich gehören oder bei denen es sich um gefälschte Testdaten handelt;
- nur Clients verwendet oder anvisiert, die auf Hardware installiert wurden, die Sie selbst besitzen und betreiben;
- nur Methoden verwendet, die mit Ihren lokalen und finnischen Gesetzen in Einklang stehen;
- keine bösartigen oder zerstörerischen Nutzdaten verwendet, die über das hinausgehen, was technisch für eine harmlose Proof-of-Concept-Demonstration erforderlich ist;
- zielt nur auf die oben aufgeführten Dienste oder Produkte ab, mit den entsprechenden Ausnahmen.
Wenn Sie Fragen dazu haben, ob eine bestimmte Art von Forschung zulässig ist oder ob ein bestimmtes Ziel in den Anwendungsbereich fällt, wenden Sie sich an security@withsecure.com, bevor Sie die Forschung durchführen.
How to report a vulnerability
So melden Sie eine Sicherheitslücke
Bitte senden Sie Ihren Bericht per E-Mail an security@withsecure.com. Wir empfehlen Ihnen dringend, die E-Mail mit unserem PGP-Schlüssel zu verschlüsseln, der auf Schlüsselservern verfügbar ist (Key Fingerprint 9443 EB64 5377 2088 D6DA 21E0 AC07 87AE 70E4 79FB), und Ihren eigenen öffentlichen Schlüssel in der E-Mail anzuhängen.
Bitte beachten Sie, dass Sie uns mit der Übermittlung eines Schwachstellenberichts eine unbefristete, weltweite, gebührenfreie, unwiderrufliche und nicht-exklusive Lizenz und das Recht einräumen, Ihren Bericht oder Teile davon ohne weitere Verpflichtungen oder Mitteilungen an Sie zu verwenden, zu ändern und in unsere Produkte, Dienstleistungen oder Testsysteme einzubauen.
Alle nicht sicherheits- oder nicht datenschutzbezogenen Fehlerberichte oder Kundendienstanfragen, die an diese E-Mail-Adresse gesendet werden, werden ignoriert. Wenn Sie eine nicht sicherheitsbezogene Frage zu WithSecure-Produkten haben, besuchen Sie bitte https://community.f-secure.com/ oder wenden Sie sich an Support For Business.
Beschreiben Sie bitte in Ihrem Bericht mindestens folgende Punkte
- Was Sie gefunden haben;
- Wo genau haben Sie das Problem gefunden und wie Sie es reproduzieren können;
- Beispiel: Wenn sich der Angriff auf einen bestimmten URI und einen bestimmten Parameter bezieht, geben Sie diese Informationen bitte im Detail an.
- Beispiel: Wenn Sie Fuzzing-Aktivitäten durchführen, stellen Sie uns bitte zusätzliche Informationen zur Verfügung, insbesondere den ursprünglich verwendeten Korpus.
- Wenn die Schwachstelle einen Dienst betrifft, geben Sie Datum und Uhrzeit (UTC) an, zu der Sie die Schwachstelle reproduzieren konnten (möglicherweise haben wir seither eine neue Version bereitgestellt);
- Wenn die Schwachstelle einen Client betrifft, geben Sie die Versionsnummer des Clients, die Plattform, auf der der Client läuft, und die Datenbankversion (falls zutreffend) an;
- Mögliche Auswirkungen der Sicherheitslücke oder Möglichkeiten, wie ein Angreifer die Sicherheitslücke ausnutzen kann;
- Proof-of-Concept oder funktionaler Exploit, falls verfügbar;
- Vorschlag zur Behebung, falls verfügbar.
Wir wären Ihnen für jede weitere relevante technische Information dankbar, insbesondere wenn die Reproduktion schwierig ist. Wenn wir es nicht reproduzieren können, können wir Sie nicht belohnen.
Wir bemühen uns, Ihnen innerhalb von fünf Arbeitstagen eine Empfangsbestätigung zukommen zu lassen. Sollten Sie bis dahin keine Rückmeldung von uns erhalten haben, senden Sie uns die Meldung bitte erneut.
Was geschieht nach Ihrer Meldung?
Unsere Entwickler werden die Angelegenheit prüfen und entscheiden, ob es sich bei Ihrem Fund tatsächlich um eine Sicherheitslücke handelt und ob wir sie mit den von Ihnen gelieferten Informationen reproduzieren können. Wenn dies der Fall ist, wird eine Belohnung gezahlt, nachdem das Problem behoben wurde.
Wir können uns nicht auf einen bestimmten Zeitplan für die Behebung (und damit für die Auszahlung der Belohnung) festlegen, da jeder Fall anders ist. Intern räumen wir jedoch extern gemeldeten Sicherheitsproblemen hohe Priorität ein und bemühen uns, Sie über den Status auf dem Laufenden zu halten. Sie können sich auch an Ihren Sachbearbeiter wenden, um den aktuellen Stand zu erfahren.
Es kann vorkommen, dass wir die Namen von Personen veröffentlichen, die wir belohnt haben, und wenn wir Meldungen über Sicherheitslücken veröffentlichen, möchten wir diese auch entsprechend würdigen. Wenn Sie lieber hinter einem Pseudonym (Handle) oder anonym bleiben möchten, werden wir das natürlich respektieren.
Obwohl wir versuchen werden, das Problem mit Ihren Augen zu sehen, kann es vorkommen, dass wir der Meinung sind, dass das von Ihnen gefundene Problem kein Risiko darstellt oder dass es sich nicht um einen Sicherheits- oder Datenschutzfehler handelt. In diesen Fällen wird keine Belohnung gezahlt.
Eine Belohnung wird nicht gezahlt, wenn der Fund in irgendeiner Weise öffentlich wird, bevor er behoben ist. Wenn jemand anderes den Fehler bereits früher gemeldet hat, werden wir Sie informieren, nachdem das Problem behoben wurde. Wenn mehrere Forscher dasselbe Problem melden, belohnen wir nur den Absender des ersten Berichts, der uns genügend technische Details liefert, um den Fund zu reproduzieren. Wir wissen, dass dies ein Schlupfloch wäre, um zu behaupten, dass alles schon einmal gefunden wurde, aber glauben Sie uns, wir wollen fair sein.
Belohnungen
Die Höhe der Belohnung wird ausschließlich von einem WithSecure-Team festgelegt, das sich aus unseren technischen Mitarbeitern zusammensetzt, und richtet sich nach dem geschätzten Risiko, das von der Sicherheitslücke ausgeht. Die aktuelle Spanne liegt zwischen 100 und 15.000 EUR.
Wenn Sie mehrere Probleme melden, die sich in verschiedenen Teilen des Dienstes wiederholen (z. B. derselbe Code läuft auf verschiedenen Knoten oder Plattformen) oder Teil eines größeren Problems sind, können diese zu einem einzigen Problem zusammengefasst werden, und es kann nur eine Belohnung gezahlt werden.
In der folgenden Tabelle finden Sie verschiedene Fehlerklassen und die dazugehörigen Prämien. Auch wenn diese Liste nicht alle Fehlerklassen abdeckt, können Sie anhand der folgenden Beispiele einen Eindruck vom Schweregrad und der Belohnung bekommen.
| Belohnungsbetrag (€) | Beispiel |
|---|---|
| Bis zu 15.000 | Entfernte Codeausführung auf dem Produktionsserver Entfernte Dateieinbindung auf dem Produktionsserver Signifikante Umgehung der Authentifizierung auf dem Produktionsserver mit kritischen Informationen |
| Bis zu 5,000 | Entfernte Codeausführung auf Client-Software Datenextraktion von einem Produktionsserver Zugriffskontrollproblem, das persönlich identifizierbare Informationen preisgibt |
| Bis zu 2,000 | Entfernte Codeausführung innerhalb einer Sandbox Lokale Privilegienerweiterung Anhaltende Dienstverweigerung bei Antiviren- oder Datenschutzfunktionen |
| Bis zu 500 | Vorübergehende Dienstverweigerung von Antiviren- oder Datenschutzfunktionen Sicherheitsrelevante Fehlkonfiguration des Produktionsservers oder der Client-Software |
Zahlungen
WICHTIG! Bitte senden Sie uns Ihre Zahlungsinformationen nicht im Voraus zu. Wir werden Sie um die entsprechenden Informationen bitten, wenn eine Zahlung fällig ist.
Zahlungen werden als Banküberweisungen innerhalb des einheitlichen Euro-Zahlungsverkehrsraums (SEPA) getätigt oder internationale Banküberweisungen außerhalb des SEPA-Raums. Wir können keine Schecks, Kryptowährungen oder andere Geldtransferdienste verwenden. Der Zahlungsempfänger ist für alle Gebühren oder Kosten verantwortlich, die bei der Überweisung anfallen, sowie für den Zugriff auf das Geld nach der Überweisung. Zahlungen erfolgen standardmäßig in Euro (EUR) und Währungsumrechnungen werden zum aktuellen Bankkurs vorgenommen.
Wir sind verpflichtet, alle Prämien der einzelnen Forscher an die finnische Steuerverwaltung zu melden, unabhängig davon, wo Sie wohnen. Um dies zu tun und die Zahlung tatsächlich vorzunehmen, bitten wir Sie später um Ihren vollständigen Namen, Ihr Geburtsdatum und eine aktuelle Postanschrift sowie um Ihre Bankverbindung (Überweisung). Wenn Sie ein Unternehmen haben, können wir Sie bitten, uns stattdessen eine Rechnung auszustellen.
Der Empfänger ist für etwaige Steuern verantwortlich. Wenn Sie in Finnland steuerpflichtig sind, sind wir verpflichtet, die Quellensteuer einzuziehen, und benötigen Ihre persönliche Identifikationsnummer und gegebenenfalls Ihre Steuerbescheinigung für das laufende Jahr.
Diese Identifikationsanforderungen werden uns von den Behörden auferlegt, und wir können keine Ausnahmen davon machen. Darüber hinaus werden keine Zahlungen an Länder oder Gerichtsbarkeiten geleistet, die einem Embargo unterliegen, oder an Personen oder Einrichtungen, die auf einer Sanktionsliste stehen.
Aufgrund dieser Identifizierungsanforderungen werden wir nur mit dem ursprünglichen Melder direkt verhandeln. Wir werden nur die E-Mail-Adresse verwenden, die in der ursprünglichen Meldung angegeben wurde. Stellen Sie also sicher, dass Sie weiterhin Zugang zu dem E-Mail-Konto haben, das Sie für die ursprüngliche Meldung verwendet haben.
Weitere rechtliche Hinweise
Unsere Anwälte möchten uns auf das folgende Kleingedruckte hinweisen:
Sie dürfen WithSecure-Clients ausschließlich zum Zweck der Sicherheitsforschung für dieses Schwachstellen-Belohnungsprogramm zurückentwickeln und dekompilieren. Diese Erlaubnis gilt nur für WithSecure-Clients, die in diesem Schwachstellen-Belohnungsprogramm ausdrücklich genannt und aufgelistet sind, mit Ausnahme der darin enthaltenen lizenzierten Komponenten von Dritten. Sie sind nicht berechtigt, Code oder Teile davon in irgendeiner Form, die Sie aufgrund dieser Erlaubnis erhalten haben, an Dritte weiterzugeben, zu zeigen oder zu veröffentlichen.
Eine Beschreibung des persönlichen Datensatzes, der für Prämienzahlungen verwendet wird, finden Sie hier.
WithSecure behält sich das Recht vor, dieses Prämienprogramm jederzeit ohne vorherige Ankündigung einzustellen und seine Bedingungen zu ändern. Dieser Text wurde zuletzt am 2022-01-05 geändert. Sofern hier nicht ausdrücklich verlängert, endet das aktuelle Schwachstellen-Prämienprogramm am 31. Dezember 2022. Alle Entscheidungen in Bezug auf Belohnungszahlungen sind endgültig. Die Regeln dieses Belohnungsprogramms oder jegliche Kommunikation in diesem Zusammenhang stellen keinerlei Verpflichtungen gegenüber WithSecure dar oder implizieren solche.
Andere Links
Sicherheitshinweise
Detaillierte Informationen über öffentliche Sicherheitslücken in WithSecure-Produkten.
Mehr lesenUnsere Akkreditierungen und Zertifikate
