In der Macaw-Gruppe legen wir großen Wert auf die Sicherheit unserer Systeme. Trotz unserer Achtsamkeit für die Sicherheit unserer Systeme ist es möglich, dass es eine Schwachstelle gibt, die wir selbst nicht entdeckt haben.
Wenn Sie eine Schwachstelle in einem unserer Systeme entdecken, würden wir gerne so schnell wie möglich von Ihnen hören, damit wir Maßnahmen ergreifen können, um sie direkt zu beheben. Wir würden gerne mit Ihnen zusammenarbeiten, um unsere Kunden und unsere Systeme besser zu schützen.
So können Sie uns helfen!
- Indem Sie eine E-Mail mit Ihren Erkenntnissen an cvd@macaw.one senden
- Indem Sie die Sicherheitslücke nicht ausnutzen. Zum Beispiel, indem Sie Daten herunterladen, ansehen, löschen oder verändern
- Indem Sie die gefundene Schwachstelle nicht an andere weitergeben, bis sie behoben ist
- Durch die Löschung aller vertraulichen Daten, die durch die Schwachstelle erlangt wurden, unmittelbar nach der Behebung der Schwachstelle
- Sie dürfen keine Angriffe auf die physische Sicherheit, Social Engineering, Distributed Denial of Service, Spam oder Anwendungen von Dritten durchführen
- Indem Sie uns ausreichende Informationen zur Verfügung stellen, um das Problem zu reproduzieren, damit wir es so schnell wie möglich beheben können. In der Regel reichen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus, aber komplexere Schwachstellen erfordern möglicherweise weitere Erklärungen
Unsere Antwort
- Sie erhalten innerhalb eines Arbeitstages eine Empfangsbestätigung für Ihre Meldung.
- Wir antworten innerhalb von 5 Werktagen auf Ihre Meldung und teilen Ihnen unsere Bewertung der Meldung sowie ein voraussichtliches Lösungsdatum mit.
- Wenn Sie die oben genannten Anweisungen befolgt haben, werden wir im Zusammenhang mit der Meldung keine rechtlichen Schritte gegen Sie einleiten.
- Wir behandeln Ihre Meldung streng vertraulich und geben Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weiter, es sei denn, dies ist zur Erfüllung einer gesetzlichen Vorschrift erforderlich. Die Meldung unter einem Pseudonym ist selbstverständlich möglich.
- Wir werden Sie über die Fortschritte bei der Beseitigung der Sicherheitslücke auf dem Laufenden halten.
- In den öffentlichen Informationen über die gemeldete Schwachstelle werden wir Ihren Namen als Entdecker der Schwachstelle nennen (es sei denn, Sie wünschen etwas anderes).
- Als Zeichen unserer Dankbarkeit für Ihre Hilfe belohnen wir Sie mit einem Macaw-Hoodie für jede Meldung einer Sicherheitslücke, die uns noch nicht bekannt war.
Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und wir möchten eine aktive Rolle bei der endgültigen Veröffentlichung des Problems, nachdem es behoben wurde. Dieser Text basiert auf einem Beispiel von Floor Terra (https://responsibledisclosure.nl/)