Sicherheitskontakt
Melden Sie Sicherheitsluecken in unserer Infrastruktur verantwortungsvoll
Verantwortungsvolle Offenlegung
Als Organisation fuer Sicherheitsforschung nehmen wir die Sicherheit unserer eigenen Infrastruktur sehr ernst. Wenn Sie eine Schwachstelle in den Systemen von ODINT entdeckt haben, moechten wir davon erfahren. Wir verpflichten uns zur Zusammenarbeit mit Sicherheitsforschenden, die Schwachstellen verantwortungsvoll melden.
Eine Schwachstelle melden
Bei sicherheitsrelevanten Problemen in der ODINT-Infrastruktur:
[email protected]Please include "SECURITY" in the subject line
Geltungsbereich
Im Geltungsbereich
- Die Website odint.io und ihre Subdomains
- Unsere oeffentlich erreichbaren Webanwendungen
- API-Endpunkte, sofern verfuegbar
- SecureDrop-Instanz, wenn in Betrieb
- Probleme bei Authentifizierung und Autorisierung
- Schwachstellen mit Datenoffenlegung
Ausserhalb des Geltungsbereichs
- Social-Engineering-Angriffe gegen unser Team
- Physische Angriffe auf unsere Infrastruktur
- Denial-of-Service-Angriffe
- Von uns genutzte Drittanbieterdienste, die direkt dort gemeldet werden sollten
- Probleme, die physischen Zugriff erfordern
- Spam oder Phishing
Was enthalten sein sollte
Wenn Sie eine Schwachstelle melden, geben Sie bitte Folgendes an:
- Beschreibung der Schwachstelle und ihrer moeglichen Auswirkungen
- Schritt-fuer-Schritt-Anleitung zur Reproduktion des Problems
- Einen Proof of Concept, wenn moeglich mit Screenshots, Videos oder Code
- Ihre Einschaetzung des Schweregrads
- Moegliche Vorschlaege zur Behebung
- Ihre Kontaktinformationen fuer Rueckfragen, sofern gewuenscht auch anonym
Unser Versprechen
Wenn Sie uns eine Schwachstelle melden, verpflichten wir uns zu Folgendem:
- Eine Empfangsbestaetigung innerhalb von 48 Stunden
- Eine erste Bewertung innerhalb von 7 Tagen
- Sie ueber unsere Fortschritte zu informieren
- Sie bei oeffentlicher Offenlegung zu nennen, wenn Sie das wuenschen
- Keine rechtlichen Schritte gegen Forschende in gutem Glauben einzuleiten
Wichtig
Bitte legen Sie Schwachstellen nicht oeffentlich offen, bevor wir angemessene Zeit hatten, sie zu bearbeiten. Wir bitten um mindestens 90 Tage vor einer oeffentlichen Offenlegung.
Safe Harbor
Wir betrachten Sicherheitsforschung, die im Einklang mit dieser Richtlinie erfolgt, als autorisiert. Wir werden keine rechtlichen Schritte gegen Forschende einleiten, die:
- in gutem Glauben handeln und Datenschutzverletzungen vermeiden
- Beeintraechtigungen unserer Dienste vermeiden
- nicht auf Daten Dritter zugreifen oder diese veraendern
- Schwachstellen unverzueglich melden
- uns vor einer Offenlegung angemessene Zeit zur Behebung geben
Hinweis
Diese Seite dient der Meldung von Sicherheitsproblemen in der eigenen Infrastruktur von ODINT. Wenn Sie offengelegte staatliche Infrastruktur melden moechten, die Sie entdeckt haben, besuchen Sie bitte stattdessen unsere Seite Hinweis Einreichen.