Richtlinie zur Meldung von Schwachstellen TAXDOO GMBH

3. Juli 2023

Einleitung

Taxdoo ist bestrebt, die Sicherheit seiner Kunden und Partner durch den Schutz ihrer Informationen zu gewährleisten. Diese Richtlinie soll Sicherheitsforschern klare Vorgaben für die Durchführung von Aktivitäten zur Aufdeckung von Sicherheitslücken geben und unsere Präferenzen bei der Übermittlung entdeckter Schwachstellen an uns vermitteln.

In dieser Richtlinie wird beschrieben, welche Systeme und Forschungsarten unter diese Richtlinie fallen, wie Sie uns Berichte über Sicherheitslücken übermitteln können und wie lange wir Sicherheitsforscher bitten, zu warten, bevor sie Sicherheitslücken öffentlich bekannt geben.

Wir ermutigen Sie, sich mit uns in Verbindung zu setzen, um potenzielle Sicherheitslücken in unseren Systemen zu melden.

Autorisierung

Wenn Sie sich nach bestem Wissen und Gewissen bemühen, diese Richtlinie bei Ihren Sicherheitsuntersuchungen einzuhalten, betrachten wir Ihre Untersuchungen als genehmigt, arbeiten mit Ihnen zusammen, um das Problem zu verstehen und schnell zu lösen, und Taxdoo wird keine rechtlichen Schritte im Zusammenhang mit Ihren Untersuchungen vorschlagen oder verfolgen. Sollte eine dritte Partei rechtliche Schritte gegen Sie wegen Aktivitäten einleiten, die in Übereinstimmung mit dieser Richtlinie durchgeführt wurden, werden wir Sie auf diese Genehmigung hinweisen.

Guidelines

Im Rahmen dieser Richtlinie bezeichnet der Begriff "Untersuchung" Aktivitäten, bei denen Sie:

  • Uns so schnell wie möglich informieren, wenn Sie ein tatsächliches oder potenzielles Sicherheitsproblem entdecken.
  • Sich nach Kräften bemühen, die Verletzung der Privatsphäre, die Beeinträchtigung der Benutzerfreundlichkeit, die Störung von Produktionssystemen und die Zerstörung oder Manipulation von Daten zu vermeiden.
  • Sie Exploits nur in dem Umfang verwenden, der notwendig ist, um das Vorhandensein einer Sicherheitslücke zu bestätigen. Verwenden Sie einen Exploit nicht, um Daten zu kompromittieren oder zu exfiltrieren, sich dauerhaften Zugriff zu verschaffen oder den Exploit zu nutzen, um auf andere Systeme überzugreifen.
  • Uns eine angemessene Zeit geben, um das Problem zu beheben, bevor Sie es öffentlich bekannt geben.
  • Reichen Sie nicht eine große Anzahl von Berichten geringer Qualität ein.


Sobald Sie festgestellt haben, dass eine Sicherheitslücke besteht oder Sie auf sensible Daten gestoßen sind, die Ihnen im Rahmen Ihres Taxdoo-Benutzerkontos nicht zugänglich sein sollten (einschließlich persönlich identifizierbarer Daten, finanzieller Informationen oder geschützter Informationen oder Geschäftsgeheimnisse einer Partei), müssen Sie Ihren Test abbrechen, uns sofort benachrichtigen und diese Daten nicht an Dritte weitergeben.

Testmethoden und anwendbare Sicherheitslücken

Alle Design- und Implementierungsschwachstellen bei Taxdoo können gemeldet werden, sofern sie reproduzierbar sind und einen Einfluss auf die Sicherheit haben. Die folgenden Testmethoden sind jedoch nicht zulässig:

  • Network denial of service (DoS oder DDoS) Tests oder andere Tests, die den Zugang zu einem System oder Daten beeinträchtigen oder beschädigen.
  • Physische Tests (z. B. Bürozugang, offene Türen, Abhören), Social Engineering (z. B. Phishing, Vishing) oder andere nichttechnische Schwachstellentests
  • Bots, Spam oder Massenregistrierungen
  • Social Engineering

Beispiele für qualifizierte Schwachstellen, die belohnt werden können, wenn sie den Nachweis ihrer Ausnutzbarkeit mit sich bringen:

  • Cross-Site Request Forgery
  • Server-side Request Forgery
  • Cross-Site Scripting (XSS)
  • Insecure Direct Object References
  • Remote Code Execution vulnerabilities
  • Injection Flaws 
  • Informationsleaks und Exfiltration von Daten
  • Unbefugter Zugriff auf Daten oder Konten
  • Active backdoors
  • Nachweis einer Fehlkonfiguration, die zu einer aktiven Ausnutzung führt

Beispiele für nicht qualifizierte Schwachstellen, die zwar gemeldet werden können, aber nicht für eine Belohnung infrage kommen:

  • Self-XSS
  • Fehlkonfiguration von SPF/DKIM/DMARC
  • Berichte von automatisierten Scripts/Tools, die ohne beigefügte Erklärung der Ergebnisse geliefert werden
  • Verwendung von Libraries oder anderen Dependencies mit bekannten Schwachstellen, die keine Ausnutzung einer Schwachstelle ermöglichen
  • Fehlende Sicherheits-Header, die keine Ausnutzung einer Schwachstelle ermöglichen
  • Allgemeine Bedenken hinsichtlich bewährter Praktiken, die nicht zu aktiver Ausbeutung führen
  • Schwachstellen, die uns bereits gemeldet wurden

Scope

Diese Richtlinie gilt für alle Systeme und Dienstleistungen, die unter der www.taxdoo.com und jeder anderen Subdomain von taxdoo.com laufen.

Alle Dienste, die oben nicht ausdrücklich aufgeführt sind, wie z. B. verbundene Dienste, sind vom Anwendungsbereich ausgeschlossen und nicht für Tests zugelassen. Darüber hinaus fallen Schwachstellen, die in Systemen unserer Dienstleister gefunden werden, nicht in den Geltungsbereich dieser Richtlinie und sollten direkt an den Dienstleister gemäß seiner Offenlegungsrichtlinie (falls vorhanden) gemeldet werden. Wenn Sie sich nicht sicher sind, ob ein System in den Geltungsbereich fällt oder nicht, wenden Sie sich an security@taxdoo.com, bevor Sie mit Ihrer Untersuchung beginnen.

Obwohl wir auch andere Systeme und Dienste entwickeln und pflegen, die über das Internet erreichbar sind, bitten wir darum, dass aktive Untersuchungen und Tests nur an den Systemen und Diensten durchgeführt werden, die in den Geltungsbereich dieses Dokuments fallen. Wenn es ein bestimmtes System gibt, das nicht in den Geltungsbereich fällt und das Ihrer Meinung nach getestet werden sollte, setzen Sie sich bitte mit uns in Verbindung. Wir werden den Geltungsbereich dieser Richtlinie im Laufe der Zeit erweitern.

Meldung einer Sicherheitslücke

Berichte über gefundene Sicherheitslücken müssen per E-Mail an security@taxdoo.com gesendet werden. Wir werden den Eingang Ihrer Meldung innerhalb von 5 (fünf) Werktagen bestätigen. Wir behalten uns das Recht vor, Belohnungen nicht auszuzahlen, wenn Nachrichten über andere Kommunikationskanäle gesendet werden.

Was wir gerne von Ihnen sehen würden

Um uns bei der Einstufung und Priorisierung der Meldungen zu helfen, empfehlen wir, dass Ihre Berichte:

  • den Zeitpunkt und den Ort, an dem die Sicherheitslücke entdeckt wurde, sowie die möglichen Auswirkungen eines Angriffs beschreiben
  • eine detaillierte Beschreibung der Schritte, die zur Reproduktion der Sicherheitslücke erforderlich sind (Proof-of-Concept-Skripte oder Bildschirmfotos sind hilfreich), enthalten
  • in englischer Sprache verfasst sind.

Was Sie von uns erwarten können

Wenn Sie sich entschließen, uns Ihre Kontaktdaten mitzuteilen, verpflichten wir uns, mit Ihnen so offen und schnell wie möglich zu kommunizieren.

  • Innerhalb von 5 (fünf) Werktagen bestätigen wir Ihnen den Eingang Ihrer Meldung.
  • Wir bestätigen Ihnen nach bestem Wissen und Gewissen das Vorhandensein der Sicherheitslücke und informieren Sie so transparent wie möglich über die Schritte, die wir zur Behebung der Sicherheitslücke unternehmen, auch über Probleme oder Herausforderungen, die die Lösung verzögern könnten.
  • Wir werden einen offenen Dialog führen, um Probleme zu diskutieren.

Belohnungen

Wir bieten Geldprämien an, die sich nach dem Schweregrad der gemeldeten Schwachstelle richten und nur dann gezahlt werden, wenn der eingereichte Bericht einen Beweis für die Ausnutzbarkeit der jeweiligen Schwachstelle enthält. Wir begrüßen und ermutigen Sie zwar, Sicherheitsrisiken zu melden, die nicht tatsächlich ausgenutzt werden können, aber wir zahlen dafür keine Geldprämie.

Nachstehend finden Sie eine Tabelle mit den Geldbeträgen, die wir auf der Grundlage der Ergebnisse unserer Risikobewertung zahlen.

Niedrig

50€ - 150€

Medium

150€ - 250€

Hoch

250€ - 500€

Kritisch

500€ - 1.000€

Die Belohnungen werden ausgezahlt, sobald die Berichte abgeschlossen sind.

Fragen

Fragen zu dieser Richtlinie können an security@taxdoo.com gerichtet werden. Wir laden Sie auch ein, sich mit Vorschlägen zur Verbesserung dieser Richtlinie an uns zu wenden.