Vulnerability Disclosure Policy
Wir arbeiten kontinuierlich daran, die maximale Sicherheit unserer Plattform zu gewährleisten. Wir setzen dabei unter anderem auf die Unterstützung von Security Researchern und fördern die verantwortungsvolle Meldung von Schwachstellen. Diese Richtlinie legt dar, wie Schwachstellen gemeldet werden können, welche Bereiche von unserem Bug-Bounty-Programm abgedeckt werden und welche Bedinungen dabei zu beachten sind.
Unser Commitment
1. Geltungsbereich
Im Geltungsbereich
Wir werden Sicherheitslücken untersuchen und beheben, die in den folgenden Produkten gemeldet werden:
- Langdock Plattform (app.langdock.com)
Außerhalb des Geltungsbereichs
Die folgenden Bereiche sind nicht von dieser Richtlinie abgedeckt:
- Marketing-Website (www.langdock.com)
- Mobile Anwendungen
- Abhängigkeiten von Drittanbietern oder Systeme, die anderen Unternehmen gehören (bitte melde diese direkt dem jeweiligen Anbieter)
- Physische Sicherheit, Social Engineering, Phishing, Spam, Brute-Force-Angriffe
- Denial-of-Service (DoS), Distributed DoS (DDoS) oder Ressourcenerschöpfungsangriffe
- Automatisches Scannen oder Fuzzing, das den Dienst beeinträchtigt
Note: Wir begrüßen Meldungen potenzieller DoS-Schwachstellen, gestatten jedoch keine aktiven DoS-Tests oder Exploits gegen unsere Systeme. Solche Meldungen sind nicht für monetäre Belohnungen qualifiziert.
2. Bug-Bounty-Belohnungen & Anerkennung
Monetäre Belohnungen sind auf Schwachstellen mit hohem Einfluss in den folgenden Kategorien beschränkt:
- Remote Code Execution (RCE)
- Cross Site Scripting (XSS)
- Server-Side Request Forgery (SSRF)
- SQL Injection (SQLi)
- Insecure Direct Object References (IDOR)
- Authentifizierungs-Bypass
- Privilege Escalation
- Schwerwiegende Informations- oder PII-Offenlegung
Andere gültige, im Geltungsbereich liegende Meldungen können nach unserem Ermessen Langdock-Merchandise erhalten.
Geringwertige, geringfügige oder informative Probleme (z.B. fehlende Sicherheits-Header, schwache TLS-Verschlüsselungen, Versionsangaben oder Ähnliches) sind nicht für monetäre Belohnungen qualifiziert.
Duplikate oder bekannte Probleme: Nur die erste gültige Meldung ist für eine Anerkennung oder eine mögliche Belohnung qualifiziert. Mehrere Meldungen sehr ähnlicher Schwachstellen erhalten keine mehrfachen Auszahlungen. Wenn du ein bekanntes Problem gemeldet hast, werden wir dich umgehend informieren.
Ausnahmefälle: Wir behalten uns das Recht vor, Ausnahmen für qualitativ hochwertige, einzigartige Meldungen zu machen, die einen erheblichen Wert bieten, auch wenn sie außerhalb der strengen Auszahlungskategorien liegen.
Verhandlung: Wir verhandeln nicht über die Höhe der Belohnungen. Versuche, höhere Auszahlungen zu erpressen oder zu erzwingen, führen zum Ausschluss aus dem Programm und zum Verlust des Safe-Harbor-Schutzes.
3. Regeln für Tests & Meldung
- Versuche nicht, Daten, die dir nicht gehören, zu lesen, zu ändern oder zu löschen.
- Führe keine Aktionen durch, die den Dienst stören, die Leistung beeinträchtigen oder andere Benutzer beeinflussen könnten.
- Versuche keine Social Engineering-, Phishing- oder physischen Angriffe.
- Automatisches Scannen oder Fuzzing, das den Dienst beeinträchtigt, ist verboten.
- Proof of Concept erforderlich: Alle Meldungen müssen klare, reproduzierbare Schritte zur Demonstration der Schwachstelle enthalten. Screenshots, Videos oder Beispielcode werden dringend empfohlen.
- Qualität zählt: Meldungen, denen es an ausreichenden Details, einer Folgenabschätzung oder Reproduzierbarkeit mangelt, können abgelehnt oder nachrangig behandelt werden.
- Mehrere ähnliche Meldungen: Nur die erste gültige Meldung einer Schwachstelle ist für eine Belohnung oder Anerkennung qualifiziert.
4. Safe Harbor & Vertraulichkeit
Wir werden alle von dir bereitgestellten Informationen vertraulich behandeln.
Forscher, die in gutem Glauben handeln, diese Richtlinie befolgen und Datenschutzverletzungen, Dienstunterbrechungen oder Datenzerstörung vermeiden, sind vor rechtlichen Schritten durch Langdock geschützt.
Mit dem Einreichen einer Meldung erklärst du dich mit diesen Bedingungen einverstanden. Wenn du nicht einverstanden bist, bist du nicht für den Safe-Harbor-Schutz qualifiziert.
Meldeprozess
Bedenken melden
Sende deine Ergebnisse per E-Mail an security@langdock.com. An dieser Adresse werden nur Sicherheitsprobleme akzeptiert.
Details angeben
Gib eine detaillierte Zusammenfassung, die Angriffsfläche (z.B. URL und Parameter), potenzielle Schwachstellen, verwendete Tools, Proof of Concept, den Schweregrad (CVSS 3.1 oder niedrig/mittel/hoch/kritisch) und alle Pläne für die öffentliche Offenlegung an.
Vorzugsweise sendest du eine Nur-Text-E-Mail für jede Schwachstelle.
Schwachstellen in Open-Source-Projekten
Wenn das Problem in einer Drittanbieter- oder Open-Source-Komponente liegt, melde es auch dem betroffenen Projekt.
Gesunden Menschenverstand nutzen
Vermeide Datenschutzverletzungen, Dienstunterbrechungen und unbefugten Datenzugriff.
Nächste Schritte
Wir werden den Eingang deiner Meldung innerhalb von 3 Werktagen bestätigen.
Wir werden die Meldung untersuchen und mindestens alle 10 Werktage Fortschrittsaktualisierungen bereitstellen, bis eine Lösung gefunden ist.
Nach Validierung und Behebung werden wir betroffene Kunden benachrichtigen und gegebenenfalls eine Sicherheitswarnung herausgeben.
Richtlinienaktualisierungen
Langdock kann diese Richtlinie jederzeit aktualisieren. Wesentliche Änderungen werden über unsere Website kommuniziert.
Vielen Dank
Vielen Dank, dass du uns hilfst, Langdock sicher zu halten! Deine verantwortungsvolle Forschung und Meldung werden sehr geschätzt.