Responsible disclosure
Bei Speakers Academy ist uns die Sicherheit unserer Systeme wichtig. Dennoch kann es vorkommen, dass es eine Schwachstelle gibt. Entdeckst du so etwas? Lass es uns wissen. Auf diese Weise können wir gemeinsam unsere Sprecher, Kunden und Besucher besser schützen.
Melde deinen Fund so
Sende deine Meldung an disclosure@speakersacademy.com.
Wir bitten dich:
- Deinen Fund so schnell wie möglich zu melden.
- Die Meldung vertraulich zu behandeln, bis wir das Problem gelöst haben.
- Genügend Informationen zu geben, damit wir das Problem nachvollziehen können. Meist reicht eine Erklärung der Schwachstelle und die betroffene Adresse. Bei komplexen Fällen bitten wir manchmal um mehr.
Was wir dich bitten nicht zu tun
Hilf uns, ohne Schaden zu verursachen. Also:
- Keine Malware platzieren.
- Keine Daten ändern oder löschen.
- Keine Systemeinstellungen ändern.
- Keine Brute-Force-Angriffe durchführen.
- Keine Denial-of-Service-Angriffe ausführen.
Was wir dir versprechen
Arbeitest du nach diesen Regeln? Dann machen wir Folgendes:
- Wir reagieren innerhalb von 5 Arbeitstagen. Du erhältst unsere Einschätzung der Meldung und ein erwartetes Datum für die Lösung.
- Wir behandeln deine Meldung vertraulich. Deine Daten werden nicht ohne deine Zustimmung an Dritte weitergegeben.
- Du kannst auch anonym oder unter einem Pseudonym melden.
- Wir halten dich über den Fortschritt auf dem Laufenden.
- Möchtest du das? Dann nennen wir dich als Entdecker bei einer Veröffentlichung über das Problem.
- Wir schätzen deine Hilfe. Für eine Meldung können wir eine Belohnung vergeben. Die Höhe hängt von der Schwere der Schwachstelle und der Qualität deiner Meldung ab.
- Wir arbeiten gerne zusammen an einer Veröffentlichung, nachdem das Problem gelöst ist.
Unser Ziel ist es, jedes Problem so schnell wie möglich zu beheben. Wir beziehen dich dabei gerne mit ein.
Meldungen, die wir nicht bearbeiten
Einige Meldungen bearbeiten wir nicht. Diese sind:
- Bekannte Schwachstellen in WordPress oder in Plugins, die bereits eine CVE haben.
- Die öffentliche xmlrpc- oder wp-cron-API.
- Fehlende SPF- oder DMARC-Einträge.
Über diese Regelung
Diese Regelung fällt unter eine Creative Commons Attribution 3.0 Lizenz. Sie basiert auf dem Beispiel von Floor Terra.