Gib so viele Informationen wie möglich an, denn das hilft uns, das Problem zu reproduzieren und es zu beheben. Am besten wäre es, wenn du uns beschreibst, was du entdeckt hast, mit IP-Adressen, Protokollen, Screenshots und so weiter.
Bitte gib auch deine Kontaktdaten an (Telefonnummer oder E-Mail-Adresse), damit wir uns melden können, wenn wir mehr wissen wollen.
Weitere wichtige Punkte
Erzähle niemandem, was du gefunden hast
Zerstöre alle Daten, auf die du gestoßen bist
Dringe nicht tiefer in unsere Systeme ein, als du musst, um zu zeigen, dass es ein Problem gibt
Missbrauche keine Sicherheitslücke, die du entdeckt hast. Wenn du es doch tust, werden wir die Polizei informieren
Was du nicht zu melden brauchst:
Social Engineering
Ressourcenerschöpfung / (Verteilter) Denial of Service
Physische Zugangstests
Situationen, die nicht reproduzierbar sind; Exploits, die nicht mit einem zweiten Tool/Methode validiert werden, d.h. falsches Ergebnis in Tool A, richtiges Ergebnis in Tool B
Probleme auf kosmetischer Ebene, d.h. dies sieht im Browser A nicht gut aus (Du kannst uns eine Nachricht an contact@gobase.net schicken)
Situationen, in denen das Problem auf der Benutzerebene (Bewusstsein) liegt, d.h. es kann ausgenutzt werden, wenn der Arbeitsplatz ungeschützt ist, Klick- oder Tastenkombinationen
Einfaches Fingerprinting oder Versionsauflistungen von Betriebssystemen, Diensten oder Ports
Meldung von öffentlich zugänglichen Dateien, die öffentliche Informationen enthalten
Fehlendes Secure/HTTP-only-Flag bei Cookies, die nur öffentliche Informationen enthalten
TLS-Fehlkonfiguration ohne einen Proof of Concept zur Ausnutzung der Schwachstelle
Unvollständige oder fehlende SPF-, DKIM- oder DMARC-Einträge
Dienste, die bei Drittanbietern laufen (überprüfe vorher deren Erklärung über die verantwortliche Offenlegung)
E-Mail-Adressen, die bei einer Datenpanne von Dritten gefunden wurden
Öffentlich bekannt gemachte Sicherheitslücken, die innerhalb der letzten 2 Wochen gepatcht wurden
URL-Weiterleitung (auf eine gültige Webseite)
Bekannte Probleme
Es gibt auch Probleme, die uns bereits bekannt sind und an denen wir arbeiten oder die wir als akzeptierte Risiken erkennen. Diese Probleme werden nicht auf der Website erwähnt. Unser Support-Team ist sich ihrer bewusst und wird sie melden. Infolgedessen wird das Problem nicht bearbeitet.
Was wir tun werden
Wir schicken dir innerhalb eines Arbeitstages eine E-Mail, in der wir den Eingang deiner Meldung bestätigen
Innerhalb von fünf Arbeitstagen antworten wir auf den Inhalt deiner Meldung und teilen dir mit, wann das Problem behoben sein wird. Schwachstellen werden so schnell wie möglich behoben, auf jeden Fall aber innerhalb von drei Monaten.
Wir halten dich über die Fortschritte bei der Behebung des Problems auf dem Laufenden
Mit deiner Hilfe entscheiden wir, ob die Informationen über das Problem veröffentlicht werden sollen. Wir werden dich nur dann als die Person nennen, die das Problem entdeckt hat, wenn du das möchtest.
