Programm zur Belohnung von Schwachstellenmeldungen

Was Sie wissen müssen, bevor Sie beginnen

Wir möchten von allen Sicherheitslücken in unseren Produkten und Dienstleistungen erfahren. Um Sicherheitsforscher zu belohnen, bieten wir monetäre Prämien für berechtigte Berichte, die uns auf koordinierte Weise offengelegt werden.

Es gibt jedoch bestimmte Regeln, die eingehalten werden müssen, um sicherzustellen, dass Ihre Sicherheitsforschung kein Sicherheitsrisiko für andere Nutzer oder deren Daten darstellt, und um die Wahrscheinlichkeit zu verringern, dass Ihre Forschung von unserer Überwachung als bösartiger Eindringversuch markiert wird. Außerdem möchten wir hinsichtlich bestimmter Aspekte der Annahme von Berichten und der Auszahlung von Belohnungen Transparenz schaffen, um Missverständnisse zu vermeiden.

Eine „Sicherheitslücke“ ist definiert als ein Problem, das eine Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit des Dienstes oder der Daten verursacht, oder das für personenbezogene Daten (personenbezogene Informationen) gilt, die auf eine Weise gespeichert oder verarbeitet werden, die nicht mit der aktuellen finnischen Datenschutzgesetzgebung konform ist.

Das Vulnerability Reward Program deckt derzeit die folgenden WithSecure-Produkte und -Dienstleistungen ab:

• WithSecure Policy Manager
• WithSecure Client Security
• WithSecure Client Security Premium
• WithSecure Server Security
• WithSecure Server Security Premium
• WithSecure E-mail and Server Security
• WithSecure E-mail and Server Security Premium
• WithSecure Linux Protection
• WithSecure Atlant
• WithSecure Elements EPP for Computers (Windows and Mac)
• WithSecure Elements EPP for Computers Premium (Windows)
• WithSecure Elements EPP for Servers (Windows and Linux)
• WithSecure Elements EDR for Servers (Windows and Linux)
• WithSecure Elements EPP for Servers Premium (Windows and Linux)
• WithSecure Elements EDR for Computers (Windows and Mac)
• WithSecure Elements EDR and EPP for Computers (Windows and Mac)
• WithSecure Elements EDR and EPP for Computers Premium (Windows)
• WithSecure Elements EDR and EPP for Servers (Windows and Linux)
• WithSecure Elements Mobile Protection (Android and iOS)
• WithSecure Elements Collaboration Protection
• WithSecure Countercept Managed Detection & Response (MDR)

Wir freuen uns über Berichte zu allen anderen WithSecure-Produkten, -Dienstleistungen oder öffentlichen Webseiten, diese sind jedoch derzeit nicht Teil dieses Belohnungsprogramms.

Einschränkungen und unterstützte Versionen

Die aktuelle neueste Version mit installiertem aktuellen Datenbank-Update, wie sie über die WithSecure-Webseiten, Google Play Store, Windows Phone Store oder Apple App Store veröffentlicht wird. Informationen zur aktuell neuesten Version finden Sie hier.

Einschränkungen und Reproduzierbarkeit

Browser-seitige Sicherheitsprobleme müssen in einem HTML5-fähigen Webbrowser reproduzierbar sein. Schwachstellen in mobilen Geräte-Clients müssen auf einem nicht gerooteten Gerät mit der aktuellsten Firmware (nicht älter als ein Jahr) des Geräteherstellers reproduzierbar sein. Auf Android muss das Gerät Google Play Services werkseitig installiert haben. Bei Desktop-Clients ist Reproduzierbarkeit erforderlich, ohne dass der Angreifer Administrator- oder Root-Rechte benötigt, und mit dem Betriebssystem, das mit den aktuellsten Sicherheits-Patches des Betriebssystem-Anbieters oder der Distribution aktualisiert wurde. Berechtigte Client-Bugs müssen sich im Code befinden, den WithSecure als Teil einer Client-Anwendung liefert. Bugs in Drittkomponenten sind im Allgemeinen berechtigt, wenn sie als Teil der WithSecure-Client-Anwendung geliefert werden. Probleme, die Bugs der zugrunde liegenden Plattform, des Betriebssystems oder von Plattform-bereitgestellten Bibliotheken sind, können berechtigt sein, solange sie sich in der WithSecure-Anwendung manifestieren oder diese beeinflussen können. Bei Bugs externer Komponenten bieten wir an, die Verantwortung für die rechtzeitige Benachrichtigung der betroffenen Parteien zu übernehmen. Wenn Sie eine Klärung benötigen, kontaktieren Sie uns vorab.

Zulässige Sicherheitsforschung

Wir erlauben nur Sicherheitsforschung, die:

• in gutem Glauben unternimmt, Drittanbieterdienste oder deren Verfügbarkeit nicht zu beeinträchtigen;
• in gutem Glauben unternimmt, die Konten, personenbezogenen Daten oder Inhalte anderer Nutzer nicht zu beeinträchtigen oder offenzulegen und die Verfügbarkeit des Dienstes für andere Nutzer nicht zu beeinträchtigen;
• nur Benutzerkonten verwendet, die Ihnen persönlich gehören (Sie dürfen mehrere Konten speziell zum Zweck der Durchführung von Sicherheitsforschung für dieses Vulnerability Reward Program erstellen);
• nur auf Benutzerkonten, Benutzerdaten oder personenbezogene Daten abzielt, die Ihnen persönlich gehören oder fiktive Testdaten sind;
• nur Clients verwendet oder ins Visier nimmt, die auf Hardware installiert sind, die Sie selbst besitzen und betreiben;
• nur Methoden verwendet, die mit Ihrem lokalen und finnischen Recht im Einklang stehen;
• keine bösartigen oder zerstörerischen Payloads verwendet, die über das hinausgehen, was technisch für eine harmlose Proof-of-Concept-Demonstration erforderlich ist;
• nur die oben aufgeführten Dienste oder Produkte mit den entsprechenden Ausschlüssen ins Visier nimmt.

Wenn Sie Fragen dazu haben, ob eine bestimmte Art von Forschung zulässig ist oder ob ein bestimmtes Ziel im Geltungsbereich liegt, kontaktieren Sie uns unter security@withsecure.com, bevor Sie die Forschung durchführen.

So melden Sie eine Sicherheitslücke

Bitte senden Sie Ihren Bericht per E-Mail an security@withsecure.com. Wir empfehlen ausdrücklich, die E-Mail mit unserem PGP-Schlüssel zu verschlüsseln (verfügbar über Key-Server; Fingerprint: 2622 90BA C1DB AB46 2954 B150 1518 05EB 454B 15C4) und Ihren eigenen öffentlichen Schlüssel der Nachricht beizufügen.
Bitte beachten Sie: Mit der Einreichung eines Vulnerability-Reports räumen Sie der WithSecure ein zeitlich unbegrenztes, weltweites, lizenzgebührenfreies, unwiderrufliches und nicht-exklusives Nutzungsrecht ein, Ihren Beitrag oder Teile davon ohne weitere Verpflichtungen oder Benachrichtigungen in unsere Produkte, Services oder Testsysteme zu integrieren, zu verwenden oder zu verändern.
Alle nicht sicherheits- oder datenschutzrelevanten Fehlerberichte sowie Kundenanfragen, die an diese Adresse gesendet werden, werden nicht bearbeitet. Für allgemeine Fragen zu WithSecure Produkten besuchen Sie bitte die WithSecure Community oder wenden Sie sich an den Business-Support.

Bitte geben Sie in Ihrem Bericht mindestens folgende Informationen an::

• Was Sie gefunden haben
• Wo genau Sie es gefunden haben und wie es reproduziert werden kann
  – Beispiel: Bei einem Angriff auf eine bestimmte URI und Parameter bitte diese detailliert angeben
  – Beispiel: Bei Fuzzing-Aktivitäten bitte insbesondere die verwendete Ausgangsbasis (Corpus) angeben
  Falls die Schwachstelle einen Service betrifft: Datum und Uhrzeit (UTC), zu der die Reproduktion möglich war (möglicherweise wurde inzwischen eine neue Version bereitgestellt)
• Falls die Schwachstelle einen Client betrifft: Versionsnummer, Plattform sowie ggf. Datenbankversion
• Mögliche Auswirkungen der Schwachstelle bzw. wie ein Angreifer sie ausnutzen kann
• Proof-of-Concept oder funktionaler Exploit (falls vorhanden)
• Vorschläge zur Behebung (falls vorhanden)

Wir freuen uns über jede zusätzliche technische Information, insbesondere wenn die Reproduktion schwierig ist. Wenn wir die Schwachstelle nicht reproduzieren können, ist keine Auszahlung möglich.

Wir bestätigen den Eingang Ihres Reports in der Regel innerhalb von fünf Werktagen. Sollten Sie bis dahin keine Rückmeldung erhalten, senden Sie den Bericht bitte erneut.

Was nach Ihrer Meldung passiert

Unsere Entwickler werden die Angelegenheit prüfen und feststellen, ob Ihre Erkenntnis tatsächlich eine Sicherheitslücke darstellt und ob wir sie mit den von Ihnen gelieferten Informationen reproduzieren können. Wenn sie qualifiziert ist, wird eine Belohnung gezahlt, nachdem das Problem behoben wurde.

Wir können uns nicht auf einen bestimmten Zeitplan für die Behebung (und damit für die Auszahlung der Belohnung) festlegen, da jeder Fall anders ist. Intern geben wir jedoch extern gemeldeten Sicherheitsproblemen hohe Priorität und werden Sie über den Status auf dem Laufenden halten. Sie können auch Status-Updates anfordern, indem Sie sich an Ihren Sachbearbeiter wenden.

Wir veröffentlichen gelegentlich die Namen von Personen, die wir belohnt haben, und wenn wir Schwachstellen-Bulletins veröffentlichen, möchten wir der Person Anerkennung zollen, der sie gebührt. Wenn Sie lieber unter einem Alias (Handle) oder anonym bleiben möchten, respektieren wir das natürlich.

Obwohl wir versuchen werden, das Problem mit Ihren Augen zu sehen, sind wir in einigen Grenzfällen möglicherweise der Meinung, dass das von Ihnen gefundene Problem kein Risiko darstellt oder nicht ein Sicherheits- oder Datenschutz-Bug ist. In diesen Fällen wird keine Belohnung gezahlt.

Eine Belohnung wird nicht gezahlt, wenn die Erkenntnis in irgendeiner Weise öffentlich wird, bevor sie behoben ist. Wenn jemand anderes die Erkenntnis bereits zuvor gemeldet hat, lassen wir es Sie wissen, nachdem das Problem behoben wurde. Wenn mehrere Forscher dasselbe Problem melden, belohnen wir nur den Absender des ersten Berichts, der uns genügend technische Details liefert, um die Erkenntnis zu reproduzieren. Wir wissen, dass uns dies eine Hintertür gäbe, um zu behaupten, alles sei bereits zuvor gefunden worden, aber vertrauen Sie uns, wir wollen fair sein.

Zahlungen

WICHTIG! Bitte senden Sie uns Ihre Zahlungsinformationen nicht im Voraus. Wir werden die entsprechenden Informationen anfordern, wenn und sofern eine Zahlung fällig ist.

Zahlungen erfolgen als Banküberweisungen innerhalb des einheitlichen Euro-Zahlungsverkehrsraums (SEPA) oder internationale Banküberweisungen außerhalb des SEPA. Wir können keine Schecks, Kryptowährungen oder andere Geldtransferdienste verwenden. Der Zahlungsempfänger ist verantwortlich für alle Gebühren oder Kosten, die auf die Überweisung erhoben werden, sowie für den Zugriff auf die Mittel nach der Überweisung. Zahlungen erfolgen standardmäßig in Euro (EUR), und alle Währungsumrechnungen erfolgen zum aktuellen Bankkurs.

Wir sind verpflichtet, alle Belohnungen einzelner Forscher an die finnische Steuerverwaltung zu melden, unabhängig davon, wo Sie wohnen. Um dies zu tun und tatsächlich zu zahlen, würden wir später Ihren vollständigen Namen, Ihr Geburtsdatum, eine aktuelle Postanschrift und Ihre Banküberweisungsdetails anfordern. Wenn Sie ein Unternehmen haben, können wir Sie bitten, uns stattdessen eine Rechnung zu stellen.

Der Empfänger ist für alle Steuern verantwortlich. Wenn Sie in Finnland besteuert werden, sind wir verpflichtet, die Quellensteuer einzubehalten und benötigen Ihre persönliche Identifikationsnummer und optional Ihren Steuerbescheid für das laufende Jahr.

Diese Identifikationsanforderungen werden uns von den Behörden auferlegt, und wir können keine Ausnahmen davon machen. Zusätzlich werden Zahlungen nicht in Länder oder Rechtsgebiete geleistet, die einem Embargo unterliegen, oder an Personen oder Einrichtungen auf einer Sanktionsliste.

Aufgrund dieser Identifikationsanforderungen werden wir nur direkt mit dem ursprünglichen Berichterstatter zusammenarbeiten. Wir verwenden nur die E-Mail-Adresse aus dem ursprünglichen Bericht, stellen Sie also sicher, dass Sie weiterhin Zugriff auf das E-Mail-Konto haben, das Sie zum Senden des ursprünglichen Berichts verwendet haben.

Weitere rechtliche Hinweise

Unsere Rechtsabteilung möchte auf das folgende Kleingedruckte hinweisen:

Sie dürfen WithSecure-Clients ausschließlich und nur zum Zweck der Durchführung von Sicherheitsforschung im Rahmen dieses Vulnerability-Reward-Programms reverse-engineeren und dekompilieren. Diese Erlaubnis gilt nur für die in diesem Programm ausdrücklich benannten und aufgeführten WithSecure-Clients, unter Ausschluss jeglicher darin enthaltener lizenzierter Drittanbieter-Komponenten.

Sie dürfen keinen Code oder Teile davon, die Sie im Rahmen dieser Erlaubnis ableiten, in irgendeiner Form gegenüber Dritten offenlegen, zeigen oder veröffentlichen.

Eine Beschreibung des für die Auszahlung von Prämien verwendeten personenbezogenen Datensatzes ist hier verfügbar.

WithSecure behält sich das Recht vor, dieses Reward-Programm jederzeit ohne vorherige Ankündigung zu beenden oder die Bedingungen zu ändern. Dieser Text wurde zuletzt am 22.12.2022 geändert. Sofern hier nicht ausdrücklich verlängert, endet das aktuelle Vulnerability-Reward-Programm am 31. August 2026.

Alle Entscheidungen über Prämienzahlungen sind endgültig. Die Regeln dieses Reward-Programms oder jegliche Kommunikation hierzu begründen keinerlei Verpflichtungen seitens WithSecure.

Belohnungen

Die Höhe der Prämie wird ausschließlich von einem Team der WithSecure festgelegt, das sich aus unseren technischen Mitarbeitenden zusammensetzt, und basiert auf dem geschätzten Risiko der jeweiligen Schwachstelle. Die aktuelle Belohnungsspanne liegt zwischen EUR 500 und EUR 18.000.

Wenn Sie mehrere Probleme melden, die Duplikate in unterschiedlichen Teilen des Services sind (z. B. derselbe Code, der auf verschiedenen Knoten oder Plattformen läuft), oder Teil eines größeren Gesamtproblems sind, können diese zusammengefasst werden, und es wird gegebenenfalls nur eine einzige Prämie ausgezahlt.

Die folgende Tabelle zeigt verschiedene Fehlerklassen und die jeweils zugehörige Prämie. Auch wenn nicht alle Fehlerklassen in dieser Liste enthalten sind, können Sie anhand der Beispiele ein Gefühl für die Zuordnung von Schweregrad und Belohnung erhalten.