Kontakt und Support Telefonkontakt

Unser Bug Bounty Programm für Informationssicherheit

Kontakt und Support Telefonkontakt LiveZilla Live Chat Software

VegaSystems Bug Bounty Programm

Wir legen großen Wert auf Sicherheit und Verantwortung für unsere eigenen Systeme, aus diesem Grund unterhält VegaSystems ein sogenanntes Bug Bounty Programm zu Erkennung von Schwachstellen und Fehlern unter unserer Domain vegasystems.de und den Subdomains.

Wir prämieren an uns gemeldete Fehler in Anwendungen unter dieser Domain. Hinweise zu anderen Domains und Anwendungen nehmen wir gerne entgegen, können diese aber nicht prämieren.

Was ist ein Bug Bounty Programm?

Hacker zu sein ist nicht illegal, viele Unternehmen wie wir sind dankbar, wenn Hacker unsere Systeme testen und auf Fehlerquellen analysieren, ohne den Betrieb negativ zu beeinflussen.

Für jede gefundene Sicherheitslücke, die nicht schon vorher bekannt war, wird eine Prämie an den Hacker ausgeschüttet, der sie gefunden und gemeldet hat.

Wer darf teilnehmen?

Generell sind wir für alle Menschen offen, ausgeschlossen sind jedoch Mitarbeiter von VegaSystems und deren verbundenen Unternehmen, ebenso deren Angehörige.

Zu jung gibt es bei uns nicht, aber Minderjährige benötigen die Zustimmung der Eltern und können dann gerne teilnehmen.


Scope des Bug Bounty Programms

Wie bereits erwähnt ist die Domain vegasystems.de sowie deren Subdomains der Geltungsbereich des Bug Bounty Programms.

Was ist NICHT im Scope?

  • Denial of service
  • Spamming
  • Social engineering (inklusive Phishing) von VegaSystems Mitarbeitern oder Rechenzentren
  • Physisches Eindringen bei VegaSystems oder in Rechenzentren
  • Fehlende Cookie Flags auf nicht sicherheitsrelevanten Cookies
  • CSRF (ohne ein Beispiel, was uns eine sicherheitsrelevante Auswirkung zeigt)
  • Preisgabe von nicht kritischen Informationen
  • Beschreibende Fehlermeldungen (z.B. Stack Traces oder Server Fehlermeldungen)
  • Open Redirects (ohne ein Beispiel, wie dieser kritisch eingesetzt werden kann)
  • Meldungen von veralteten Versionen ohne praktisches Beispiel
  • Captcha Bypass
  • Self-XSS (insofern kein Szenario herbeigeführt werden kann, in dem andere Nutzer betroffen sind)
  • Fehlende Sicherheits-HTTP-Header
  • Lücken, die nur in extrem veralteten Browsern reproduzierbar sind
  • Bekannte Lücken in beispielsweise WordPress oder Typo3

Was gilt es zu beachten? Die 4 Regeln:

  • Sie dürfen keine Daten Dritter speichern und weitergeben.
  • Sie dürfen Dritte nicht über die Schwachstelle informieren.
  • Sie haben den geprüften Dienst in seiner Verfügbarkeit nicht eingeschränkt
  • Sie geben uns ausreichend Zeit zur Reaktion und Fehlerbehebung und melde keiner Lücke über andere Kanäle

Prämien werden nur ausgezahlt, wenn:

  • Die vorher genannten 4 Regeln beachtet werden
  • Die Schwachstelle nicht bereits vorher öffentlich bekannt ist
  • Noch kein anderer vorher die Schwachstelle bei uns entdeckt hat
  • Die Entdeckung ohne Einsatz von Scannertools erfolgte
  • Schwachstelle darf nicht auf einer veralteten Third Party Software Komponente beruhen
  • Ihre Einreichung muss ein Beispiel mit eindeutigem Request oder PoC Code enthalten, inklusive verwendetem Browser und Browsereinstellungen

Meldung von Sicherheitslücken und Schwachstellen

Unsere Mitarbeiter nehmen Meldungen unter support@vegasystems.de entgegen.

Wenn Sie Hinweise auf eine missbräuchliche Nutzung unserer Systeme haben oder einen Sicherheitsvorfall melden möchten, können Sie das ebenfalls über diesen Weg machen.