Schwachstellenmeldung

Aktualisiert am 09.05.2023

Als Sicherheitsunternehmen wissen wir, dass jedes System und jede Infrastruktur anfällig sein kann. Wir ermutigen jeden, Schwachstellen zu melden. Dies schützt uns, unsere Kunden, Partner und Interessengruppen und macht die Welt ein wenig sicherer.

Kontakt

Sie können uns Schwachstellen über security@heylogin.com melden. Wenn Ihre E-Mail sensible Informationen enthält, verwenden Sie bitte den OpenPGP-Schlüssel 327E E095 BDC1 BD81 631C 8D82 2949 0F2D 481F 4E59.

Vulnerability Disclosure Policy (VDP)

Safe Harbour

Wir werden keine rechtlichen Schritte gegen Aktivitäten einleiten, die mit dieser Richtlinie übereinstimmen. Sollten von Dritten aufgrund von Aktivitäten, die mit dieser Richtlinie übereinstimmen, rechtliche Schritte eingeleitet werden, werden wir Maßnahmen ergreifen, um dies den Verantwortlichen und/oder den Justizbehörden mitzuteilen.

Unser Versprechen

Wir werden Ihre Meldung umgehend prüfen und beantworten und einen offenen Dialog mit Ihnen führen. Wir erstellen einen Zeitplan, wann Sie mit der Behebung der Schwachstelle rechnen können. Wir halten uns dabei an die üblichen 90 Tage Disclosure Deadline Policy.

Ihr Versprechen

Sie verpflichten sich, entdeckte Schwachstellen zu keinem anderen Zweck zu verwenden, als sie uns zu melden. Schwachstellen werden ausschließlich und privat gemeldet, und zwar unverzüglich nach ihrer Entdeckung. Sie versprechen, keine Handlungen vorzunehmen, die uns, unseren Kunden, Partnern oder anderen Beteiligten schaden.

Bug Bounty

Wir bieten aktuell keinen Bug Bounty an. Das ändert sich wahrscheinlich in der Zukunft.

Geltungsbereich

Der Geltungsbereich dieser Vulnerability Disclosure Policy (VDP) umfasst:

  • Webanwendung auf heylogin.app
  • heylogin Browser-Erweiterungen für Chrome, Firefox, Safari und Edge
  • heylogin iOS und Android App

Folgende Systeme, die ausschließlich für das Marketing betrieben werden, gehören nicht zum Geltungsbereich:

  • Marketing-Webseite heylogin.com
  • Landingpages von Marketing-Aktivitäten

Die folgenden Aktivitäten sind verboten:

  • Denial of Service (inkl. Resource Exhaustion, automatisierte Scanner mit hoher Auslastung, Löschen von Daten, Fuzzing, etc)
  • Spamming
  • Social Engineering (einschließlich Phishing)
  • Physischer Zugang (einschließlich Betreten oder Überwachen von Grundstücken)
  • Angriffe auf Systeme, die nicht mit dem Internet verbunden sind (interne Netzwerke, private IPs, Workstations usw.)
  • Installation von dauerhaften Hintertüren

Probleme ohne unmittelbare Auswirkungen auf die Sicherheit, fehlende Hardening-Maßnahmen oder Defense-in-Depth-Maßnahmen fallen nicht in den Anwendungsbereich dieser VDP. Dazu gehören (aber nicht ausschließlich):

  • Vorhandensein/Fehlen von DKIM/SPF/DMARC/ACC Records
  • Fehlende http-Header (wie CSP, Permissions-Policy, etc.)
  • Clickjacking
  • Fehlende http-Cookie-Flags
  • Offenlegung von Informationen über nicht sensible Inhalte (wie robots.txt, sitemap.xml, Dateien, Verzeichnisse usw.)
  • Fehlen von Best Practices
  • Self-Attacks
  • CSRF mit geringen oder keinen Auswirkungen
  • Offene Ports
  • Angriffe, die Vorbedingungen erfordern, die per se Sicherheitsprobleme darstellen würden (z. B. Verwendung veralteter Browser, anfällige Browser-Plugins)
  • Ähnlich aussehende Domänen
  • Homograph-Angriffe
  • Kaputte Links
  • Metadaten in Assets (wie Bilder, PDFs usw.)
  • Theoretische Angriffe ohne realistisches Ausnutzungsszenario
  • Veraltete Software ohne nachgewiesene Sicherheitsauswirkungen
  • Kürzlich gepatchte Sicherheitslücken in Software von Drittanbietern innerhalb von zwei Wochen nach der Veröffentlichung

Dankeschön ❤️

Vielen Dank an alle, die uns Sicherheitslücken melden.