Wir bei easybell sind uns durchaus bewusst, dass nicht immer alles fehlerfrei ablaufen kann – daher unterstützen wir Sicherheitsforscher:innen und White-Hat-Hacker:innen mit unserem Bug-Bounty-Programm.

Das bedeutet: Wer uns gefundene Schwachstellen oder Sicherheitslücken im easybell-System meldet wird dafür belohnt.

Sie fühlen sich angesprochen, haben bereits eine Schwachstelle bei uns entdeckt und möchten Ihr Wissen gebührend prämiert bekommen? Dann gilt es, folgende Richtlinien zu beachten:

Welche Domains, Subdomains und Apps sind relevant?

Folgende Seiten sind uns besonders wichtig:

  • easybell.de
  • easybell.com
  • login.easybell.de
  • cta.easybell.de
  • teams-trunk-frontend.easybell.de
  • order-form.easybell.de
  • partner.easybell.de
  • *.easybell.de
    • ausgenommen Test- und Entwicklungsseiten
  • VoIP to go App iOS
  • VoIP to go App Android

 

Für andere Seiten nehmen wir gerne Meldungen entgegen, sie sind aber nicht Teil dieses Programms.

Responsible Disclosure

Um eine Belohnung erhalten zu können, halten Sie bitte folgenden Meldevorgang ein:

  • Wir brauchen ausreichend Zeit zum Beantworten ihrer E-Mail und zum Beheben der Lücken.
  • Die Lücke darf, bevor sie behoben ist, keinem:keiner Dritten bekannt gemacht werden.
  • Bitte geben Sie uns Informationen zur Verifizierung und Reproduktion der Lücke - am besten ein Proof of Concept Skript!
  • Pro Meldung bitte nur eine Lücke! Für neue Lücken starten Sie einen neuen E-Mail-Thread.


Dafür bieten wir:

  • Eine schnelle Reaktion auf ihre Meldung (eine Eingangsbestätigung) kommt sofort und in der Regel wird eine Meldung innerhalb von 48 Stunden beantwortet.
  • Wir garantieren keine rechtlichen Maßnahmen gegen Sie einzuleiten.
  • Wir schließen die gefundene Lücke schnellstmöglich.
  • Nachdem wir die Lücke bestätigt haben, wird Ihnen eine Belohnung ausgezahlt. 

Sicherheitslücken und Schwachstellen aufdecken

Uns ist es besonders wichtig, die Daten unserer Kund:innen zu schützen. Lücken, die diese Daten offenlegen, haben besondere Wichtigkeit. Als Lücke oder Schwachstelle zählt alles, was mindestens eine der folgenden Anforderungen erfüllt:

  • Es wird nicht autorisierter Code ausgeführt.
  • Sensible Informationen werden offengelegt (z.B. Passwörter).
  • Es wird die Integrität von Systemen beeinträchtigt.
  • Benutzerdaten werden offengelegt.
  • Benutzerdaten werden verändert.
  • Unautorisierter Zugriff auf sensible Daten oder Ressourcen wird ermöglicht
  • Privilegien werden erhöht.
  • Das System von Benutzer:innen kann beschädigt werden.


Zudem müssen die Lücken auf jeden Fall:

  • tatsächlich ausgenutzt werden können (Bitte keine theoretischen Lücken melden!);
  • aus dem Internet heraus ausnutzbar sein.


Bitte achten Sie darauf:

  • dass unsere Infrastruktur nicht beeinträchtigt wird – keine Brute-Force-Angriffe oder aggressive Scanner!
  • Die Privatsphäre unserer Nutzer:innen hat die höchste Priorität: Sensible Daten dürfen nicht verändert, gelöscht, heruntergeladen oder veröffentlicht werden. Sollten Sie vermuten, dass Sie auf sensible Daten zugreifen können, kontaktieren Sie uns und wir stellen einen Testaccount zur Verfügung.


Ausgenommen aus dem Programm sind die folgenden Schwachstellen-Kategorien:

  • Social Engineering, Spam, Phishing, etc.
  • physische Angriffe, z.B. Einbruch
  • DDOS-Angriffe und Angriffe, die ein hohes Datenvolumen erfordern
  • Schwachstellen in Drittsoftware oder Webseiten, die nicht der easybell GmbH gehören
  • 0-Day Schwachstellen in nicht selbstentwickelter Software, für die noch kein Patch vorliegt oder für die wir noch nicht ausreichend Zeit zur Schließung hatten
  • Clickjacking-Angriffe
  • DNS-Fehlkonfigurationen, z.B. nicht-restriktive SPF-Records
  • fehlende Best-Practices in Headern, SSL/TLS, DNS
  • Schwachstellen, verursacht von Malware
  • POST-basiertes reflected XSS
  • CSRF login/logout
  • unzureichende Passwort-Komplexität
  • Benutzer-Enumeration

Ihre Belohnung

Damit wir Ihnen eine Belohnung auszahlen:

  • Gehen Sie sicher, dass Sie die Kriterien, die wir unter „Responsible Disclosure“ und „Sicherheitslücken und Schwachstellen“ aufgelistet haben, erfüllen!
  • Ihre Meldung ist die erste Meldung zur Sicherheitslücke.
  • Sie sind kein:e Mitarbeiter:in der easybell GmbH, eines Zulieferers oder eines Vertragspartners bzw. -partnerin.
  • Sie müssen für die Belohnung eine Rechnung an die easybell GmbH schreiben.
  • Die Belohnung basiert auf der Schwere der Lücke, dem Aufwand, die Lücke zu finden und der Qualität des Reports. Dies wird durch uns nach eigenem Ermessen festgelegt. Wir orientieren uns am CVSS 3.1 Base Score
Schwere der Lücke Niedrig Mittel Hoch Kritisch
Belohnung in € bis 100 100-500 500-1000 1000+

Und so melden Sie eine Lücke

Wenn Sie eine Sicherheitslücke oder eine Schwachstelle gefunden haben, dann schicken Sie uns bitte eine E-Mail an bugbounty@easybell.de. Hierüber können Sie auch Fragen oder Anmerkungen zum Bug-Bounty-Programm schicken.

 

Vielen Dank!

Stand: 15. Juni 2022