Die S-Communication Services entwickelt und betreibt eine große Anzahl von digitalen Services. Sicherheit der Daten und Prozesse haben dabei höchste Priorität. Trotzdem können diese digitalen Services Schwachstellen enthalten, die der S-Communication Services noch nicht bekannt sind. Daher sind wir sehr dankbar für Hinweise auf Schwachstellen.
Hierbei ist zu beachten: Bei der Suche nach Schwachstellen kann es sich ggf. um eine Straftat handeln. Daher bitten wir um Beachtung der nachfolgenden Regeln.
Das „S-Communication Services BugBounty Programm“ ist eine Initiative der S-Communication Services, um Personen zu belohnen, die Fehler, Sicherheitslücken oder "Bugs" in digitalen Services der S-Communication Services aufdecken und melden.
Die Belohnung, das sogenannte "Bounty", variiert auf der Grundlage der Schwere und der Art des aufgedeckten Fehlers.
Am S-Communication Services - BugBounty Programm kann jeder teilnehmen, der sich an die hier genannten Regeln hält.
Folgende Domains (inkl. ggf. vorhandener Subdomains, wenn diese in der security.txt einen Verweis auf diese Webseite enthalten) sind relevant für das BugBounty Programm der S-Communication Services:
- sparkasse.de
- s-communication.de
- alle weiteren Domains und Webseiten bei denen die S-Communication Services im Impressum als Herausgeber gekennzeichnet ist und bei denen sich in der security.txt ein Verweis auf diese Webseite findet.
Manche der genannten Domains leiten auf nicht von der S-Communication Services verantwortete Websites weiter. In diesem Fall umfasst das BugBounty Programm nur die von der S-Communication Services verantwortete Domain, beachten sie hierzu die Angaben im Impressum der entsprechenden Webseiten.
Bitte beachten Sie, dass nicht in der obigen Liste enthalte digitale Services nicht Teil des BugBounty Programms sind. Ggf. kann eine IT-Sicherheitsuntersuchung solcher nicht genannter Services als rechtswidrig eingestuft und entsprechend geahndet werden.
Um am BugBounty Programm teilzunehmen, gilt grundsätzlich:
Der S-Communication Services darf durch die Tätigkeiten im Rahmen des BugBounty Programms kein Schaden entstehen.
Das bedeutet:
- Beim Suchen nach Schwachstellen dürfen Verfügbarkeit, Vertraulichkeit und Integrität der Daten und Prozesse der S-Communication Services nicht beeinträchtigt werden.
- Bitte führen Sie daher keine Phishing-Mail-, DDoS-, Brute-Force-Tests o. ä. durch. Ändern Sie keine Daten.
- Es dürfen keine Backdoors o.ä. eingebaut werden, die dauerhaften Zugriff ermöglichen.
- Gefundene Schwachstellen werden erst veröffentlicht, wenn diese von der S-Communication Services geschlossen wurden.
Des Weiteren gilt:
- Nur die erstmalige Meldung einer Schwachstelle kommt für eine BugBounty Auszahlung in Frage.
- Aktuelle und ehemalige Mitarbeiter der S-Communication Services sowie Dienstleister und Zulieferer können nicht am BugBounty Programm teilnehmen.
- Die S-Communication Services legt den Auszahlungsbetrag fest. Eine Auszahlung kann nur erfolgen, wenn der Teilnehmer am BugBounty Programm der S-Communication Services eine entsprechende und der geltenden Umsatzbesteuerung gerecht werdende Rechnung stellt.
Wir sind insbesondere an Schwachstellen interessiert, die es Unberechtigten ermöglichen
- auf vertrauliche Daten zuzugreifen, diese zu ändern oder zu löschen
- die Vertraulichkeit oder Integrität von Benutzerdaten oder die Privatsphäre der Benutzer direkt zu beeinträchtigen
Insbesondere sind wir an folgenden Schwachstellentypen interessiert:
- Cross-site request forgery (CSRF / XSRF)
- persistant Cross-Site-Scripting (XSS)
- XML external entity Injections (XXE)
- Authentication bypass / Unauthorized data access
- Encryption vulnerabilities
- Remote code execution
- SQL Injections
- Privilege escalation
Weniger relevant im Rahmes dieses BugBounty Programms sind:
- Sämtliche Sicherheitslücken, ohne eine detaillierte Beschreibung der Angriffsmethodik oder einem Nachweis der Ausnutzbarkeit
- Schwachstellen, welche nur Nutzer mit veralteten Browsern und reduzierten Sicherheitseinstellungen betreffen
- Unsere Policies bzgl. SPF/DKIM/DMARC Records
- HTML-Character-Set-Fehlermeldungen wie bspw. “does not specify charset” oder “unrecognized charset”
- Das Fehlen von Secure/HTTP Only Flags bei nicht sensitiven Cookies
- Das Fehlen von HTTP Strict Transport Security (HSTS)
- Clickjacking oder das Fehlen von X-Frame-Options
- Cachebare HTTPS-Response-Pages auf unkritischen Seiten
- Einsatz von unsicheren SSL/TLS Ciphers
- Beschwerden über Services oder Dienste
- Fragen und Beschwerden bzgl. der Erreichbarkeit unserer Webservices
- Phishing-Mails oder Betrugsfälle
- Automatische, von Scan-Tools generierte Reports
Bitte geben Sie uns im Falle einer Kontaktaufnahme folgende Informationen:
- Exakte Domain, auf welcher Sie die Schwachstelle gefunden haben
- Möglichst viele Details zur Reproduktion der Schwachstelle, um uns die Analyse zu erleichtern und damit die Auszahlung der Belohnung zu beschleunigen. Z.B. IP-Nummer von der aus getestet wurde, Proof-Of-Concept-Skizzen.
- Bitte kommunizieren Sie mit uns über E-Mails an bugbounty@s-communication.de
Wir bestätigen den Eingang der Meldung und werden die Schwachstelle schnellstmöglich beheben.
Jede eingereichte Schwachstellenmeldung wird von der S-Communication Services bewertet und in eine Kritikalitätsstufe nach CVSS eingeordnet. Maßstab hierbei ist das Gefahrenpotenzial, daraus leitet sich auch die Höhe der Prämie ab.