Suchen
Kilometerstand
Erweiterte Suche
1
Ein Fahrzeug verkaufen Community

Hast du eine Schwachstelle in unseren Systemen entdeckt?

Wenn du eine technische Sicherheitslücke in unseren Systemen findest, gibt es einen Prozess, um sie zu melden. Das nennen wir Coordinated Vulnerability Disclosure (CVD). Aber wenn du eine Schwachstelle in einem System oder Produkt entdeckst, das nicht zu unserer Plattform gehört, solltest du sie zuerst dem Besitzer dieses Systems melden. Kontaktiere unser Technik-Team nur, wenn die verantwortliche Organisation nicht angemessen reagiert. In solchen Fällen vermitteln wir und machen auf die Schwachstelle aufmerksam. Bei Fragen oder Kommentaren, die nichts mit Cybersicherheit zu tun haben, nutze einfach unsere "Kontakt"-Seite.

Wenn du Schwachstellen entdeckst, die mehrere Systeme oder Anbieter betreffen, zögere nicht, unser Technik-Team zu kontaktieren. Wir können dabei helfen, eine Lösung zu koordinieren. Melde diese Schwachstellen über unser Kontaktformular, und wir setzen uns mit dir in Verbindung, um den Lösungsprozess zu unterstützen.

Welche Schwachstellen können im Rahmen eines CVD gemeldet werden?

Du kannst uns Schwachstellen melden, wenn sie die Systemsicherheit gefährden. Zum Beispiel, wenn Login-Formulare umgangen oder unbefugt Zugriff auf Datenbanken mit persönlichen Informationen erlangt werden kann.

Nicht jeder Systemfehler ist eine Schwachstelle. Folgende Fehler führen normalerweise nicht zu einem Sicherheitsproblem, und wir bitten dich, sie nicht zu melden:

  • Fehler, die keine Auswirkung auf die Verfügbarkeit, Integrität oder Vertraulichkeit von Daten haben.
  • Die Verfügbarkeit der WordPress xmlrpc.php-Funktionalität, wenn ihr Missbrauch auf einen sogenannten "Pingback Denial-of-Service"-Angriff beschränkt ist.
  • Die Möglichkeit, Cross-Site-Scripting auf einer statischen Website oder einer Website ohne sensible (Benutzer-)Daten anzuwenden.
  • Die Verfügbarkeit von Versionsinformationen, zum Beispiel über eine info.php-Datei. Eine Ausnahme gibt es, wenn die Versionsinformationen zeigen, dass das System Software mit bekannten Schwachstellen verwendet.
  • Das Fehlen von HTTP-Sicherheitsheadern, die von Mechanismen wie Cross-Origin Resource Sharing (CORS) verwendet werden, es sei denn, dies führt nachweislich zu einem Sicherheitsproblem.
  • Zertifikate wie SSL oder Domainnamen, die bald ablaufen.

Wenn du unsicher bist, ob der von dir gefundene Fehler eine Ausnahme ist, kannst du ihn trotzdem bei uns melden.

Wir prüfen dann, ob der Fehler eine Sicherheitslücke darstellt und ergreifen entsprechende Maßnahmen. ## Wie meldest du Sicherheitslücken? Bitte gehe folgendermaßen vor: - Fülle das [Kontaktformular](https://de.breaqs.com/information/contact) aus und beschreibe uns, was du gefunden hast. - In deinem Bericht erklärst du bitte so genau wie möglich, wie das Problem reproduziert werden kann. Das beschleunigt die Lösung. Meist reichen die IP-Adresse oder URL des betroffenen Systems sowie eine Beschreibung der Schwachstelle. Bei komplexeren Fällen brauchen wir vielleicht mehr Infos – dann melden wir uns bei dir. - Gib mindestens eine E-Mail-Adresse oder Telefonnummer an, damit wir bei Fragen Kontakt aufnehmen können. Am liebsten kommunizieren wir per E-Mail. Stelle sicher, dass du: - Die Sicherheitslücke so schnell wie möglich meldest, nachdem du sie entdeckt hast. - Niemandem davon erzählst, bis wir dir bestätigen, dass das Problem behoben ist. - Verantwortungsvoll mit dem Wissen umgehst – also zum Beispiel keine weiteren Schritte unternimmst, außer denen, die nötig sind, um die Lücke zu demonstrieren. ### Was solltest du unbedingt vermeiden? Bitte führe niemals folgende Aktionen durch: - Schadsoftware auf dem System installieren. - Daten im System kopieren, ändern oder löschen. - Änderungen am System vornehmen. - Immer wieder auf das System zugreifen oder den Zugriff mit anderen teilen. - Brute-Force-Angriffe durchführen, um Zugriff zu erlangen. - Denial-of-Service-Angriffe oder Social Engineering durchführen. ### Grundsätze unserer CVD-Richtlinie - Wenn du deine Meldung nach diesem Verfahren einreichst, hat das keine rechtlichen Konsequenzen für dich. Wir behandeln deinen Bericht vertraulich und geben deine persönlichen Daten nicht ohne deine Erlaubnis an Dritte weiter, es sei denn, das Gesetz oder ein Gerichtsbeschluss verlangt es. - Wir nennen dich nur dann als Entdecker der Sicherheitslücke, wenn du uns dazu die Erlaubnis gibst. - Wir bestätigen den Eingang deines Berichts innerhalb eines Werktages und schicken dir innerhalb von drei Werktagen eine Einschätzung. Außerdem halten wir dich über den Fortschritt bei der Lösung auf dem Laufenden. - Unser Sicherheitsteam wird sich bemühen, das von dir gemeldete Problem innerhalb von maximal 60 Tagen zu beheben. Sobald das erledigt ist, besprechen wir mit dir, ob und wie Details zum Problem und seiner Lösung veröffentlicht werden. - Unser Sicherheitsteam bedankt sich für deine Hilfe mit einer Belohnung. Die kann von einem Kaffee über ein T-Shirt bis zu Gutscheinen reichen – je nach Schwere der Lücke und Qualität deines Berichts. Um eine Belohnung zu erhalten, muss der Bericht eine ernsthafte Sicherheitslücke sein, die unser Sicherheitsteam noch nicht kannte.

Standort

Kilometerstand: km