Verantwortungsvolle Offenlegung

Für VanMoof hat die Sicherheit unserer Systeme – und unserer Benutzer – absolute Priorität. Dennoch treten immer wieder Sicherheitslücken auf, egal wie sehr wir uns um die Sicherheit unserer Systeme bemühen.

1. Regeln

1

Bitte beschreiben Sie das Problem ausführlich und nachvollziehbar. Wenn die Meldung nicht ausführlich genug ist, um das Problem nachzuvollziehen, kann das Problem eventuell nicht behoben werden.

2

Reichen Sie für jede Sicherheitslücke eine separate Meldung ein, außer Sie müssen Sicherheitslücken in einen Zusammenhang setzen, um die Wirkung aufzuzeigen.

3

Social Engineering (z.B. Phishing, Vishing, Smishing) ist untersagt.

4

Bemühen Sie sich nach bestem Wissen und Gewissen, Datenschutzverletzungen, Vernichtung von Daten sowie die Unterbrechung oder Beeinträchtigung unserer Dienstleistungen zu vermeiden. Nutzen Sie ausschließlich Konten, die Ihnen gehören oder für deren Nutzung Sie die ausdrückliche Einwilligung des Kontoinhabers erhalten haben.

2. Geltungsbereich

1

Für VanMoof hat die Sicherheit unserer Systeme – und unserer Benutzer – absolute Priorität. Dennoch treten immer wieder Sicherheitslücken auf, egal wie sehr wir uns um die Sicherheit unserer Systeme bemühen.

3. Nicht abgedeckte Sicherheitslücken

1

Clickjacking auf Seiten ohne sensible Aktionen.

2

Cross-Site Request Forgery (CSRF) in nicht autorisierten Formularen oder Formularen ohne sensible Aktionen.

3

Attacken, die MITM oder physischen Zugriff auf das Gerät eines Benutzers erfordern.

4

Bereits bekannte anfällige Bibliotheken ohne funktionierendes Proof of Concept.

5

CSV-Injection (Comma Separated Values) ohne offensichtliche Schwachstelle.

6

Fehlende bewährte Praktiken in der SSL/TLS-Konfiguration.

7

Alle Aktivitäten, die zu einer Störung unserer Dienstleistungen führen können (DoS).

8

Content-Spoofing und Text-Injection, ohne dass ein Angriffsvektor angezeigt wird/ohne dass HTML/CSS modifiziert werden kann.

9

Volumenstrombegrenzung oder Bruteforce-Angriffe ohne Non-Authentication Endpoints.

10

Fehlende bewährte Praktiken in der Content-Sicherheitsrichtlinie.

11

Fehlende HttpOnly oder Secure Flags bei Cookies.

12

Fehlende bewährte Praktiken für E-Mails (ungültige, unvollständige oder fehlende SPF/DKIM/DMARC-Protokolle usw.)

13

Schwachstellen, die nur Benutzer veralteter oder nicht aktualisierter Browser betreffen [weniger als 2 stabile Versionen vor der letzten veröffentlichten stabilen Version].

14

Offenlegung der Softwareversion/Identifizierungsprobleme mit Bannern/beschreibende Fehlermeldungen oder -titel (z.B. Stack Traces, Anwendungs- oder Serverfehler).

15

Tabnabbing

16

Offene Weiterleitung – außer ein zusätzliches Sicherheitsproblem ist nachweisbar.

17

Ladensicherheit oder physische Einrichtungen.

18

Drittanwendungen, die wir nutzen, aber nicht kontrollieren (z.B. ein Blog, der auf einer externen Plattform gehostet wird – außer wir haben den Blog so konfiguriert, dass er unsere Anwendungsbereiche angreifbar macht.

19

Spam (außer eine spezifische Schwachstelle führt dazu, dass Spam ungehindert versendet werden kann).

20

Richtlinien im Gegensatz zu Implementierungen – E-Mail-Verifizierung, Passwortlänge oder -wiederverwendung usw.

21

Schwachstellen in unserer Open-Source-Software (außer Sie können nachweisen, wie eine spezifische Schwachstellen auf vanmoof.com oder in verwandten Apps ausgenutzt werden kann).

22

Schwachstellen, die Zugriff auf ein bereits kompromittiertes Konto erfordern (außer der Zugriff auf ein Konto gefährdet andere Konten).

4. Meldungen einreichen

1

Wenn Sie etwas bemerken, lassen Sie uns das bitte umgehend wissen.

2

Bitte schicken Sie Ihre Beobachtungen so schnell wie möglich an security („at“) vanmoof (Punkt) com.

3

Geben Sie im E-Mail-Text bitte an, wie Sie das Problem entdeckt haben, damit wir es nachvollziehen können. Beschreiben Sie das Problem und geben Sie die IP-Adresse oder URL an.

4

Geben Sie auch Ihre Kontaktdaten wie E-Mail-Adresse oder Telefonnummer an, damit wir gegebenenfalls Rückfragen stellen können.

5. Safe Harbor

1

Jegliche Aktivitäten, die den Bestimmungen dieser Richtlinie entsprechen, werden als zulässiges Verhalten erachtet und führen nicht dazu, dass wir rechtliche Schritte gegen Sie einleiten. Wenn Dritte im Zusammenhang mit Aktivitäten im Rahmen dieser Richtlinie rechtliche Schritte gegen Sie einleiten, ergreifen wir entsprechende Maßnahmen, um diese Dritten darauf hinzuweisen, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie erfolgt sind. Vielen Dank für Ihren Beitrag zur Sicherheit von VanMoof und unserer Benutzer!