Wir bei easybell sind uns durchaus bewusst, dass nicht immer alles fehlerfrei ablaufen kann – daher unterstützen wir Sicherheitsforscher:innen und White-Hat-Hacker:innen mit unserem Bug-Bounty-Programm.

Das bedeutet: Wer uns gefundene Schwachstellen oder Sicherheitslücken im easybell-System meldet wird dafür belohnt.

Sie fühlen sich angesprochen, haben bereits eine Schwachstelle bei uns entdeckt und möchten Ihr Wissen gebührend prämiert bekommen? Dann gilt es, folgende Richtlinien zu beachten:

Scope

Welche Domains, Subdomains und Apps sind relevant?

Folgende Seiten sind uns besonders wichtig:

  • easybell.de
  • easybell.com
  • login.easybell.de
  • cta.easybell.de
  • teams-trunk-frontend.easybell.de
  • order-form.easybell.de
  • partner.easybell.de
  • *.easybell.de
    • ausgenommen Test- und Entwicklungsseiten
  • VoIP to go App iOS
  • VoIP to go App Android

Für andere Seiten nehmen wir gerne Meldungen entgegen, sie sind aber nicht Teil dieses Programms.

Out of Scope sind insbesondere, sofern nicht oben genannt:

  • IPs, die auf easybell registriert sind
  • Seiten mit einem Zertifikat von easybell
  • Seiten auf denen nur das Wort ‚easybell‘ vorkommt

Responsible Disclosure

Um eine Belohnung erhalten zu können, halten Sie bitte folgenden Meldevorgang ein:

  • Wir brauchen ausreichend Zeit zum Beantworten ihrer E-Mail und zum Beheben der Lücken.
  • Die Lücke darf, bevor sie behoben ist, keinem:keiner Dritten bekannt gemacht werden.
  • Bitte geben Sie uns Informationen zur Verifizierung und Reproduktion der Lücke – am besten ein Proof of Concept Skript!
  • Bitte teilen Sie uns die IP mit, von der aus Sie getestet haben. So können wir die Lücke besser nachvollziehen.
  • Pro Meldung bitte nur eine Lücke! Für neue Lücken starten Sie einen neuen E-Mail-Thread.

Dafür bieten wir:

  • Eine schnelle Reaktion auf ihre Meldung (eine Eingangsbestätigung) kommt sofort und in der Regel wird eine Meldung innerhalb von zwei Arbeitstagen beantwortet.
  • Wir garantieren keine rechtlichen Maßnahmen gegen Sie einzuleiten.
  • Wir schließen die gefundene Lücke schnellstmöglich.
  • Nachdem wir die Lücke bestätigt und behoben haben, wird ihnen eine Belohnung ausgezahlt.

Sicherheitslücken und Schwachstellen aufdecken

Uns ist es besonders wichtig, die Daten unserer Kund:innen zu schützen. Lücken, die diese Daten offenlegen, haben besondere Wichtigkeit. Als Lücke oder Schwachstelle zählt alles, was mindestens eine der folgenden Anforderungen erfüllt:

  • Es wird nicht autorisierter Code ausgeführt.
  • Sensible Informationen werden offengelegt (z.B. Passwörter).
  • Es wird die Integrität von Systemen beeinträchtigt.
  • Benutzerdaten werden offengelegt.
  • Benutzerdaten werden verändert.
  • Unautorisierter Zugriff auf sensible Daten oder Ressourcen wird ermöglicht
  • Privilegien werden erhöht.
  • Das System von Benutzer:innen kann beschädigt werden.


Zudem müssen die Lücken auf jeden Fall:

  • tatsächlich ausgenutzt werden können (Bitte keine theoretischen Lücken melden!);
  • aus dem Internet heraus ausnutzbar sein.


Bitte achten Sie darauf:

  • dass unsere Infrastruktur nicht beeinträchtigt wird – keine Brute-Force-Angriffe oder Scanner mit mehr als einer Anfrage pro Sekunde (1 req/s)!
  • Die Privatsphäre unserer Nutzer:innen hat die höchste Priorität: Sensible Daten dürfen nicht verändert, gelöscht, heruntergeladen oder veröffentlicht werden. Sollten Sie vermuten, dass Sie auf sensible Daten zugreifen können, kontaktieren Sie uns und wir stellen einen Testaccount zur Verfügung.

Ausgenommene Sicherheitslücken

Ausgenommen aus dem Programm sind die folgenden Schwachstellen-Kategorien:

  • Social Engineering, Spam, Phishing, etc.
  • physische Angriffe, z.B. Einbruch
  • DDOS-Angriffe und Angriffe, die ein hohes Datenvolumen erfordern
  • Schwachstellen oder 0-Days in Drittsoftware oder Webseiten, die nicht der easybell GmbH gehören
  • Clickjacking-Angriffe
  • DNS-Fehlkonfigurationen, z.B. nicht-restriktive SPF-Records
  • fehlende Best-Practices in Headern, SSL/TLS, DNS
  • Schwachstellen und Hintertüren, verursacht von Malware
  • POST-basiertes reflected XSS, CSRF login/logout
  • Benutzer-Enumeration und unzureichende Passwort-Komplexität
  • Direkter IP-Zugriff
  • Fehlendes Rate-Limiting
  • Schwachstellen, die nur ausgenutzt werden können, wenn ein anderes Konto eines Benutzers, z.B. E-Mail, kompromittiert ist

Ihre Belohnung

Damit wir Ihnen eine Belohnung auszahlen:

  • Gehen Sie sicher, dass Sie die Kriterien, die wir unter „Responsible Disclosure“ und „Sicherheitslücken und Schwachstellen“ aufgelistet haben, erfüllen!
  • Ihre Meldung ist die erste Meldung zur Sicherheitslücke.
  • Sie sind kein:e Mitarbeiter:in der easybell GmbH, eines Zulieferers oder eines Vertragspartners bzw. -partnerin.
  • Sie müssen für die Belohnung eine Rechnung an die easybell GmbH schreiben.
  • Die Belohnung basiert auf der Schwere der Lücke, dem Aufwand, die Lücke zu finden und der Qualität des Reports. Dies wird durch uns nach eigenem Ermessen festgelegt. Wir orientieren uns am CVSS 3.1 Base Score.
Schwere der Lücke Niedrig Mittel Hoch Kritisch
Belohnung in € bis 100 100-500 500-1000 1000+

Und so melden Sie eine Lücke

Wenn Sie eine Sicherheitslücke oder eine Schwachstelle gefunden haben, dann schicken Sie uns bitte eine E-Mail an bugbounty@easybell.de. Hierüber können Sie auch Fragen oder Anmerkungen zum Bug-Bounty-Programm schicken.

 

Vielen Dank!

Stand: 21. April 2023