Vulnerability Disclosure Policy

Probleme melden

Wir nehmen Sicherheitsvorfälle sehr ernst. Wenn Sie ein Exploit oder eine mögliche Sicherheitslücke gefunden haben, teilen Sie uns dies bitte mit. Senden Sie eine E-Mail mit möglichst vielen Informationen an bounty@selzy.com. Jemand aus unserem Team wird sich so bald wie möglich mit Ihnen in Verbindung setzen.

Selzys Bug-Kopfgeldprogramm

Wir begrüßen Sicherheitsforscher, die verantwortungsvolle Aufdeckung betreiben und sich an unsere Richtlinien halten. Das Selzy Bug-Kopfgeldprogramm ist ein Zeichen des Respekts für diese Forscher und belohnt sie für ihre Bemühungen. Um für eine Belohnung unter unserem Bug-Kopfgeldprogramm in Frage zu kommen, müssen Sie die unten aufgeführten Bedingungen erfüllen.

Grundregeln

Zusätzlich zur Einhaltung unserer Allgemeinen Geschäftsbedingungen und aller anderen anwendbaren Bestimmungen und Bedingungen müssen Sie auch diese Grundregeln befolgen, wenn Sie an unserem Bug-Kopfgeldprogramm teilnehmen:

• Greifen Sie nicht auf Benutzerkonten oder nicht-öffentliche Daten zu (oder versuchen Sie darauf zuzugreifen).
• Beeinträchtigen oder schädigen Sie nicht andere Nutzer (oder deren Zugang zu bzw. Nutzung unserer Dienste).
• Führen Sie keine Angriffe durch, die die Zuverlässigkeit oder Integrität unserer Dienste oder Daten beeinträchtigen könnten. Beispielsweise sind DDoS-/Spam-Angriffe streng verboten.
• Machen Sie eine Sicherheitslücke nicht öffentlich bekannt, bevor wir sie behoben haben.
• Führen Sie keine nicht-technischen Angriffe durch (oder versuchen Sie dies), einschließlich Spam, Social Engineering, Phishing oder physische Angriffe gegen unsere Mitarbeiter, Nutzer oder Infrastruktur.

Welche Arten von Meldungen werden nicht akzeptiert?

Im Folgenden finden Sie eine nicht erschöpfende Liste von Meldungen, die sich nicht für eine Belohnung im Rahmen unseres Bug-Kopfgeldprogramms qualifizieren:

• Probleme im Zusammenhang mit Software oder Protokollen, die nicht unter unserer Kontrolle stehen, wie z. B. Domains oder Anwendungen, die Selzy ähneln oder eine unserer APIs benutzen, aber nicht von Selzy verwaltet werden.
• Offenlegung von öffentlichen Informationen oder Informationen, die unserer Meinung nach kein signifikantes Risiko darstellen.
• Offenlegung von Client-Identifikatoren und -schlüsseln, die als Annehmlichkeit für Open-Source-Mitwirkende gedacht sind.
• Offenlegung von Anmeldedaten durch andere Parteien, die nicht mit Selzy in Verbindung stehen.
• Bugs wie XSS, die nur ältere Browser-/Plugin-Versionen betreffen, Bugs, die eine äußerst unwahrscheinliche Benutzeraktivität oder -interaktion erfordern, oder Timing-Angriffe, die z. B. die Existenz eines Benutzers beweisen.
• Cookies, die zwischen verschiedenen *.Selzy.com-Domains geteilt werden.
• Bugs, die uns bereits gemeldet wurden (d. h. wer zuerst kommt, mahlt zuerst), oder Bugs, die uns bereits bekannt sind.
• Skripting oder andere Automatisierungen und Nutzung der Brute-Force-Methode für die beabsichtigte Funktionalität (all dies ist strengstens verboten).

 
Bitte beachten Sie, dass wir zwar gerne Informationen über die Nichteinhaltung bewährter Praktiken entgegennehmen, solche Probleme jedoch keine Schwachstellen darstellen, sofern sie nicht die Vertraulichkeit, Integrität und/oder Verfügbarkeit beeinträchtigen. Ebenso werden solche Probleme nicht finanziell belohnt.

Belohnungen

Wir können Geldprämien für gemeldete Probleme vergeben, die wir beheben, wobei für besonders kreative oder schwerwiegende Sicherheitsprobleme höhere Prämien vorgesehen sind. Probleme, die wir als unbedeutendes oder akzeptiertes Risiko einstufen, kommen nicht für eine Belohnung in Frage. Die Höhe der Belohnung richtet sich nach dem Schweregrad des Problems und liegt zwischen 25$ und 500$. Bitte beachten Sie, dass nur Meldungen, die an bounty@selzy.com gesendet werden, für eine Belohnung im Rahmen unseres Bug-Kopfgeldprogramms in Frage kommen.

Meldungs- oder Belohnungsstatus überprüfen

Wir sind ein kleines und sehr beschäftigtes Entwicklerteam und erhalten viele E-Mails. Bitte senden Sie uns nicht mehrere oder sich wiederholende E-Mails, in denen Sie dieselben Fragen zu eingereichten Meldungen oder zum Status möglicher Kopfgeldzahlungen stellen. Dies wird den Prozess nicht beschleunigen und kann zu einer langsameren Antwort führen, da unser Posteingang zusätzlich belastet wird. Wir schätzen Ihre Geduld.

Bitte beachten Sie auch, dass das wiederholte Einreichen von Problemen, die auf der Liste unqualifizierter Probleme stehen, dazu führen kann, dass Sie keine Antwort erhalten.

Einige rechtliche Anmerkungen

Unser Bug-Kopfgeldprogramm ist kein Wettbewerb oder Konkurrenzkampf. Es handelt sich um ein experimentelles und freiwilliges Belohnungsprogramm. Wir können die Bedingungen dieses Programms jederzeit und ohne Vorankündigung ändern oder das Programm beenden. Alle Entscheidungen über die Höhe und Art der Belohnungen, die ausgegeben werden können, die Zahlungsmethode (für Geldbelohnungen) und die Einschätzung, ob ein gemeldetes Problem ein erhebliches Risiko darstellt oder für eine Belohnung in Frage kommt, werden in jedem Fall nach Selzys eigenem Ermessen getroffen. Wir geben Geldprämien normalerweise per Paypal aus und benötigen dafür Ihren vollständigen Namen und die entsprechenden Kontaktinformationen. Sie sind für alle steuerlichen Auswirkungen von Belohnungen, die Sie erhalten, verantwortlich und müssen alle Steuergesetze einhalten, die für Belohnungen gelten, die wir Ihnen gewähren. Wir können keine Prämien an Personen ausgeben, die auf Sanktionslisten stehen oder die sich in Ländern befinden (z. B. Russland, Kuba, Iran, Nordkorea, Sudan oder Syrien), die auf Sanktionslisten stehen. Sie müssen alle geltenden lokalen, staatlichen, nationalen und internationalen Gesetze, Regeln und Vorschriften in Verbindung mit Ihrer Teilnahme an diesem Programm einhalten. Ihre Teilnahme an diesem Programm darf keine Daten gefährden oder schädigen, die nicht Ihnen gehören.