Verantwortungsvolle Offenlegung

• Informieren Sie uns bitte so schnell wie möglich, wenn Sie eine potentielle Sicherheitslücke entdeckt haben. Wir werden alle Anstrengungen unternehmen, um diese Sicherheitslücke schnell zu schließen. 

• Geben Sie uns ausreichend Zeit, um die Sicherheitslücke zu beheben, bevor Sie diese der Öffentlichkeit oder Dritten gegenüber offenbaren.  

• Benutzen Sie nur offizielle Kommunikationswege. Verwenden Sie keine persönlichen E-Mails, Social-Media-Konten oder andere private Verbindungen, um ein Mitglied des Sicherheitsteams in Bezug auf Sicherheitsanfälligkeiten oder programmbezogene Probleme zu kontaktieren, soweit Sie nicht vom Programm dazu angewiesen wurden.  

• Keine unautorisierte Imitation: Jeder unautorisierte Versuch, eine andere Partei durch die Imitation eines Leaseweb-Mitarbeiters, eines anderen Hackers oder eines Sicherheitsteams zu manipulieren, wird nicht toleriert.  

• Wenn Sie alle in diesen Richtlinien festgelegten Bedingungen erfüllen, werden wir keine rechtlichen Schritte gegen Sie bezüglich dieses Berichts einleiten.  

• Ihr Bericht wird vertraulich behandelt, und wir werden Ihre personenbezogenen Daten nicht ohne vorherige Zustimmung an Dritte weitergeben, soweit es nicht zur Erfüllung einer gesetzlichen Verpflichtung notwendig ist.  

• Kostenlose Services für Sicherheitsforscher: Wir können die Kosten für Leaseweb-Services erstatten, wenn Schwachstellen in unseren Systemen gefunden werden. Die Entscheidung über die Rückerstattung und die Höhe der Rückerstattung liegt im Ermessen von Leaseweb.  

• Unterschied zwischen Leaseweb-Services und Kundendiensten: Schwachstellen können in Kundendiensten gefunden werden, die von Leaseweb gemietet, aber nicht von Leaseweb verwaltet werden. Wenn diese Schwachstellen entdeckt werden, können wir das Problem nicht beheben und auch keine Prämien anbieten. Wenn das der Fall ist, werden wir Sie mit unserem Kunden in Verbindung setzen, sofern es möglich ist.  

Um verantwortungsbewussten Sicherheitsforschern unsere Wertschätzung zu zeigen, bietet Leaseweb Prämien für Berichte über qualifizierte Sicherheitslücken. Die Prämien werden in Form von finanzieller Entschädigung oder Leaseweb-Ware vergeben. Die Höhe der Prämie liegt im Ermessen von Leaseweb und basiert auf der internen Schweregradbewertung der offengelegten Sicherheitsanfälligkeit. Die Prämie wird nach der Validierung der Sicherheitslücke durch unsere internen Teams mitgeteilt.  

Die folgenden Kriterien müssen Sie erfüllen, um für eine Prämie in Betracht zu kommen:  

• Sie sind der Erste, der die Sicherheitsanfälligkeit berichtet.  

• Sie befolgen die auf dieser Seite beschriebenen Richtlinien.  

• Sie haben die Sicherheitsanfälligkeit nicht öffentlich bekannt gegeben, bevor wir sie beheben konnten.  

• Sie liefern einen funktionierenden Proof of Concept (PoC), der die Sicherheitslücke aufzeigt. Der PoC sollte mindestens Folgendes enthalten:  

1. Details zur Schwachstelle   

1. Die Schritte, die wir unternehmen sollten, um die Schwachstelle zu reproduzieren   

1. Welche Auswirkungen der Angriff hätte, wenn die Schwachstelle ausgenutzt wird   

• Sie benutzen ausschließlich die von Ihnen angelegten Konten und greifen nicht auf die Daten anderer Benutzer zu.  

• Sie sind nicht in einem Land wohnhaft, das auf der Liste der „Specially Designated Nationals and Blocked Persons (SDN)“ aufgeführt ist.  

• Sie sind nicht in einem Land wohnhaft, das auf der konsolidierten Liste der Personen, Organisationen und Einrichtungen aufgeführt ist, die finanziellen Sanktionen der EU unterliegen.  

  Während der Forschung möchten wir Sie bitten, folgende Handlungen zu unterlassen:  

• Social Engineering (einschließlich Phishing) von Leaseweb-Mitarbeitern oder Auftragnehmern  

• Jegliche physische Angriffe auf Leaseweb-Eigentum oder Rechenzentren  

• Physischer Angriff auf die Infrastruktur  

• Denial of service  

• An-/Abmeldung CSRF  

• Self-XSS (wir benötigen Beweise, wie das XSS zum Angriff auf einen anderen Leaseweb-Benutzer verwendet werden kann)  

• Übersehen von Durchsatzratenbegrenzungen  

• Bericht von automatisierten Werkzeugen und Scans  

• Fehler in der Software von Drittanbietern  

• Bezug zu X-Frame-Optionen  

• Fehlende Cookie-Flags bei nicht sensiblen Cookies  

• Fehlende Sicherheits-Header, die nicht direkt zu einer Sicherheitsanfälligkeit führen (es sei denn, Sie liefern einen PoC)  

• DKIM/SPF/DMARC-Probleme (wir sind uns bewusst, dass sie fehlen und arbeiten an der Lösung)  

• Versionsaufdeckung (es sei denn, Sie liefern einen PoC eines funktionierenden Exploits)  

• Verzeichniseintrag mit bereits öffentlich lesbarem Inhalt  

• Inhalts-Spoofing auf Fehlerseiten oder Text-Injektion  

Bitte senden Sie Ihre ersten Ergebnisse an security@leaseweb.com. Sie können ggf. unseren PGP-Schlüssel verwenden, um Ihre Nachricht zu verschlüsseln. Diesen Schlüssel finden Sie hier.  

Vielen Dank für Ihren Beitrag zur Sicherheit von Leaseweb und unseren Benutzern!