Das S-Com BugBounty Programm

Die S-Communication Services entwickelt und betreibt eine große Anzahl von digitalen Services. Sicherheit der Daten und Prozesse haben dabei höchste Priorität. Trotzdem können diese digitalen Services Schwachstellen enthalten, die der S-Communication Services noch nicht bekannt sind. Daher sind wir sehr dankbar für Hinweise auf Schwachstellen.

 

Hierbei ist zu beachten: Bei der Suche nach Schwachstellen kann es sich ggf. um eine Straftat handeln. Daher bitten wir Sie, die folgenden Regeln zu beachten.

Das "S-Communication Services -BugBounty Programm" ist eine Initiative der S-Communication Services, um Personen zu belohnen, die Fehler, Sicherheitslücken oder "Bugs" in digitalen Services der S-Communication Services aufdecken und melden.

 

Die Belohnung, das sogenannte "Bounty", variiert auf der Grundlage der Schwere und der Art des aufgedeckten Fehlers.

 

Am S-Communication Services -BugBounty Programm kann jeder teilnehmen, der sich an die hier genannten Regeln hält.

 

Folgende Domains (inkl. ggf. vorhandener Subdomains, wenn diese in der security.txt einen Verweis auf diese Webseite enthalten) sind relevant für das Bug Bounty Programm der S-Communication Services:

  • sparkasse.de
  • s-communication.de
  • sparkassen-finanzportal.de
  • alle weiteren Domains und Webseiten bei denen die S-Communication Services im Impressum als Herausgeber gekennzeichnet ist und bei denen sich in der security.txt ein Verweis auf diese Webseite findet.

Manche der genannten Domains leiten auf nicht von der S-Communication Services verantwortete Websites weiter. In diesem Fall umfasst das BugBounty-Programm nur die von der S-Communication Services verantwortete Domain, beachten sie hierzu die Angaben im Impressum der entsprechenden Webseiten.

 

Bitte beachten Sie, dass nicht in der obigen Liste enthalte digitale Services nicht Teil des BugBounty Programms sind. Ggf. kann eine IT-Sicherheitsuntersuchung solcher nicht genannter Services als rechtswidrig eingestuft und entsprechend geahndet werden.

 

 

Um am BugBounty Programm teilzunehmen, gilt grundsätzlich:

 

Der S-Communication Services darf durch die Tätigkeiten im Rahmen des BugBounty Programms kein Schaden entstehen.

Das bedeutet:

  • Beim Suchen nach Schwachstellen dürfen Verfügbarkeit, Vertraulichkeit und Integrität der Daten und Prozesse der S-Communication Services nicht beeinträchtigt werden.
  • Bitte führen Sie daher keine Phishing-Mail-, DDoS-, Brute-Force-Tests o. ä. durch. Ändern Sie keine Daten.
  • Es dürfen keine Backdoors o.ä. eingebaut werden, die dauerhaften Zugriff ermöglichen.
  • Gefundene Schwachstellen werden erst veröffentlicht, wenn diese von der S-Communication Services geschlossen wurden.

Des Weiteren gilt:

  • Nur die erstmalige Meldung einer Schwachstelle kommt für eine Bug Bounty-Auszahlung in Frage.
  • Aktuelle und ehemalige Mitarbeiter der S-Communication Services sowie Dienstleister und Zulieferer können nicht am BugBounty-Programm teilnehmen.
  • Die S-Communication Services legt den Auszahlungsbetrag fest. Eine Auszahlung kann nur erfolgen, wenn der Teilnehmer am Bug Bounty-Programm der S-Communication Services eine entsprechende und der geltenden Umsatzbesteuerung gerecht werdende Rechnung stellt.

Wir sind an Schwachstellen interessiert, die es Unberechtigten ermöglichen 

  • auf vertrauliche Daten zuzugreifen, diese zu ändern oder zu löschen
  • die Vertraulichkeit oder Integrität von Benutzerdaten oder die Privatsphäre der Benutzer direkt zu beeinträchtigen

 

Insbesondere sind wir an folgenden Schwachstellentypen interessiert:

  • Cross-site request forgery (CSRF / XSRF)
  • persistant Cross-Site-Scripting (XSS)
  • XML external entity Injections (XXE)
  • Authentication bypass / Unauthorized data access
  • Encryption vulnerabilities
  • Remote code execution
  • SQL Injections
  • Privilege escalation

Nicht relevant im Rahmes dieses Bug Bounty Programms sind

  • Sämtliche Sicherheitslücken, ohne eine detaillierte Beschreibung der Angriffsmethodik oder einem Nachweis der Ausnutzbarkeit
  • Schwachstellen mit einem CVSS-Score kleiner als 7
  • Reports von automatisierten Web-Schwachstellenscannern (Acunetix, Vega usw.), die nicht validiert wurden und die keinen konkreten und komplett nachvollziehbaren Bezug zu einer Schwachstelle ermöglichen
  • Schwachstellen, welche nur Nutzer mit veralteten Browsern und reduzierten Sicherheitseinstellungen betreffen
  • Unsere Policies bzgl. SPF/DKIM/DMARC Records
  • HTML-Character-Set-Fehlermeldungen wie bspw. “does not specify charset” oder “unrecognized charset”
  • Das Fehlen von Secure/HTTP Only Flags bei nicht sensitiven Cookies
  • Das Fehlen von HTTP Strict Transport Security (HSTS)
  • Clickjacking oder das Fehlen von X-Frame-Options
  • Cachebare HTTPS-Response-Pages auf unkritischen Seiten
  • Einsatz von unsicheren SSL/TLS Ciphers
  • Nicht eingesetzte Best-Practices in Headern
  • Bekannte CVEs in Anwendungen von Drittanbietern
  • Beschwerden über Services oder Dienste
  • Fragen und Beschwerden bzgl. der Erreichbarkeit unserer Webservices
  • Phishing-Mails oder Betrugsfälle

 

 

Bitte geben Sie uns im Falle einer Kontaktaufnahme folgende Informationen:

  • Exakte Domain, auf welcher Sie die Schwachstelle gefunden haben
  • Möglichst viele Details zur Reproduktion der Schwachstelle, um uns die Analyse zu erleichtern und damit die Auszahlung der Belohnung zu beschleunigen. Z.B. IP-Nummer von der aus getestet wurde, Proof-Of-Concept-Skizzen.
  • Bitte kommunizieren Sie mit uns über E-Mails an bugbounty@s-communication.de

 

 

 

Wir bestätigen den Eingang der Meldung und werden die Schwachstelle schnellstmöglich beheben.

 

Jede eingereichte Schwachstellenmeldung wird von der S-Communication Services bewertet und in eine Kritikalitätsstufe nach CVSS eingeordnet. Maßstab hierbei ist das Gefahrenpotenzial, daraus leitet sich auch die Höhe der Prämie ab.

S-Communication Services develops and operates a large number of digital services. The security of data and processes is of the highest priority. Nevertheless, these digital services may contain vulnerabilities that are not yet known to S-Communication Services GmbH. We are therefore very grateful for information about vulnerabilities!

 

Please note: Searching for vulnerabilities may, under certain circumstances, constitute a criminal offense. We therefore ask you to observe the following rules.

The “S-Communication Services Bug Bounty Program” is an initiative by S-Communication Services to reward individuals who discover and report errors, security vulnerabilities, or “bugs” in S-Communication Services’ digital services.

 

The reward, known as the “bounty,” varies depending on the severity and type of the discovered error.

 

Anyone may participate in the S-Communication Services Bug Bounty Program, provided they comply with the rules set out here.

The following domains — including any existing subdomains, if their security.txt contains a reference to this website — are relevant for the S-Communication Services Bug Bounty Program:

  • sparkasse.de
  • s-communication.de
  • sparkassen-finanzportal.de
  • all other domains and websites where S-Communication Services is identified as the publisher in the legal notice and where the security.txt contains a reference to this website.

 

Some of the domains listed may redirect to websites for which S-Communication Services is not responsible. In such cases, the Bug Bounty Program only covers the domain for which S-Communication Services is responsible. Please refer to the information in the legal notice of the respective websites.

 

Please note that digital services not included in the above list are not part of the Bug Bounty Program. An IT security investigation of such unlisted services may, where applicable, be classified as unlawful and sanctioned accordingly.

 

To participate in the Bug Bounty Program, the following general principle applies:

S-Communication Services must not suffer any damage as a result of activities carried out within the scope of the Bug Bounty Program.

 

This means:

  • When searching for vulnerabilities, the availability, confidentiality, and integrity of S-Communication Services’ data and processes must not be impaired.
  • Please therefore do not carry out phishing email, DDoS, brute-force tests, or similar activities. Do not modify any data.
  • No backdoors or similar mechanisms may be installed that enable permanent access.
  • Discovered vulnerabilities may only be published once they have been closed by S-Communication Services.

 

Furthermore, the following applies:

  • Only the first report of a vulnerability is eligible for a bug bounty payout.
  • Current and former employees of S-Communication Services, as well as service providers and suppliers, may not participate in the Bug Bounty Program.
  • S-Communication Services determines the payout amount. A payout can only be made if the participant in the Bug Bounty Program submits an appropriate invoice to S-Communication Services that complies with applicable VAT requirements.

We are interested in vulnerabilities that enable unauthorized persons to:

  • access, modify, or delete confidential data
  • directly impair the confidentiality or integrity of user data or users’ privacy

 

In particular, we are interested in the following types of vulnerabilities:

  • Cross-site request forgery (CSRF / XSRF)
  • Persistent cross-site scripting (XSS)
  • XML external entity injections (XXE)
  • Authentication bypass / unauthorized data access
  • Encryption vulnerabilities
  • Remote code execution
  • SQL injections
  • Privilege escalation

The following are not relevant within the scope of this Bug Bounty Program:

  • Any security vulnerabilities without a detailed description of the attack methodology or proof of exploitability
  • Vulnerabilities with a CVSS score below 7
  • Reports from automated web vulnerability scanners (Acunetix, Vega, etc.) that have not been validated and do not provide a specific and fully reproducible connection to a vulnerability
  • Vulnerabilities that only affect users with outdated browsers and reduced security settings
  • Our policies regarding SPF/DKIM/DMARC records
  • HTML character set error messages such as “does not specify charset” or “unrecognized charset”
  • Missing Secure/HTTP Only flags for non-sensitive cookies
  • Missing HTTP Strict Transport Security (HSTS)
  • Clickjacking or missing X-Frame-Options
  • Cacheable HTTPS response pages on non-critical pages
  • Use of insecure SSL/TLS ciphers
  • Missing best practices in headers
  • Known CVEs in third-party applications
  • Complaints about services
  • Questions and complaints regarding the availability of our web services
  • Phishing emails or cases of fraud

 

When contacting us, please provide the following information:

  • The exact domain on which you found the vulnerability
  • As many details as possible for reproducing the vulnerability, in order to facilitate our analysis and speed up payment of the reward. For example: the IP address from which testing was performed, proof-of-concept outlines.
  • Please communicate with us by email at bugbounty@s-communication.de

 

 

We confirm receipt of the report and will remediate the vulnerability as quickly as possible.

 

Each submitted vulnerability report is assessed by S-Communication Services and classified into a criticality level according to CVSS. The benchmark for this is the potential risk, from which the amount of the reward is also derived

 

S-Com

Mehr erfahren

  • DSV-Gruppe

  • Karrierewelt DSV

  • Stellenangebote

Social Media

DSV-Portal

S-Com

Mehr erfahren

  • DSV-Gruppe

  • Karrierewelt DSV

  • Stellenangebote

Impressum
Datenschutz
Datenschutz Workday
AGB
S-Communication Services GmbH. Alle Rechte vorbehalten. Vervielfältigung nur mit Genehmigung der S-Communication Services GmbH