Verantwortungsvolle Offenlegung

Die Sicherheit dieser Website und anderer CCV-Websites ist für die CCV-Gruppe von großer Bedeutung. Trotz unseres Anliegens, die Sicherheit unserer Informationssysteme zu verbessern, ist es immer noch möglich, dass in unseren mit dem Internet verbundenen Webanwendungen derzeit Schwachstellen bestehen.

Wir freuen uns über die Hilfe von Sicherheitsforschern und anderen Mitgliedern der Sicherheitsgemeinschaft, um die Sicherheit unserer Websites zu verbessern. Wir freuen uns, mit Ihnen zusammenzuarbeiten, um unsere Kunden und unsere Websites besser zu schützen.
Feedback

Was wir Sie fragen:

  • Senden Sie Ihre Ergebnisse per E-Mail an security@ccv.eu.
  • Nutzen Sie die Sicherheitslücke nicht aus, indem Sie mehr Daten herunterladen, öffnen oder ändern, als zum Erkennen der Sicherheitslücke erforderlich ist.
  • Teilen Sie das Problem nicht mit anderen, bis bestätigt wurde, dass es gelöst wurde.
  • Löschen Sie alle vertraulichen Daten, die durch den Verstoß erlangt wurden, unverzüglich, nachdem das Problem von unserem Team festgestellt wurde.
  • Greifen Sie nicht unsere physische Sicherheit an und nutzen Sie kein Social Engineering, Service-Angriffe, Brute-Force-Angriffe, Spam oder Dritte;
  • Stellen Sie genügend Informationen zur Verfügung, um das Problem zu reproduzieren, damit es so schnell wie möglich behoben werden kann. Normalerweise reichen die IP-Adresse oder URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus, bei komplizierteren Schwachstellen sind jedoch möglicherweise detailliertere Informationen erforderlich.

Was wir versprechen:

  • Wir werden innerhalb von 5 Werktagen auf Ihre verantwortungsvolle Nachricht antworten;
  • Wenn Sie die oben genannten Bedingungen erfüllt haben, werden wir keine rechtlichen Schritte bezüglich der verantwortungsvollen Offenlegung einleiten;
  • Wir behandeln Ihre Meldung vertraulich und geben Ihre personenbezogenen Daten nicht ohne Ihre Einwilligung an Dritte weiter, es sei denn, dies ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich. Eine Berichterstattung unter einem Pseudonym ist möglich;
  • Für jede Meldung, die wir als Schwachstelle einstufen, erhalten Sie einen Platz in unserer Hall of Fame. Wir bestimmen die Höhe der Belohnung anhand der Schwere des Lecks und der Qualität der Einreichung. Wenn eine qualifizierte Schwachstelle von uns genehmigt und behoben wird, erhalten Sie einen Platz in unserer Hall of Fame.

Qualifizierende Schwachstellen:

Wir haben qualifizierte Schwachstellen wie folgt definiert:

Schwachstellen in Webanwendungen wie XSS, XXE, CSRF, SQLi, lokale oder Remote-Dateieinbindung, Authentifizierungsprobleme, Remote-Codeausführung, Autorisierungsprobleme und Rechteausweitung. Diese qualifizierten Schwachstellen müssen Auswirkungen auf die Sicherheit der Webanwendung haben und ein erhöhtes Risiko für unsere Kunden darstellen. Um Anspruch auf eine Belohnung zu haben, müssen Sie der erste Forscher sein, der uns die Schwachstelle verantwortungsbewusst meldet. Jeder Eintrag wird im Einzelfall geprüft.

Bitte beachten Sie, dass die Übermittlung von Scanergebnissen von automatisierten Tools wie Nessus, OpenVAS, Burp Suite oder WPScan usw. keine gültigen Schwachstellen darstellen. Dem Sicherheitsteam sind diese Schwachstellen bekannt.

Legal:

Sollten Nutzer/Einzelpersonen die oben genannten Richtlinien nicht einhalten, behalten wir uns das Recht vor, entsprechende (rechtliche) Schritte einzuleiten und/oder die Polizei einzuschalten.

Für diese Schwachstellenrichtlinie der CCV-Gruppe gilt niederländisches Recht. Die CCV Group behält sich das Recht vor, diese Richtlinie jederzeit zu ändern, was zum Verlust eines Prämienangebots führen kann.

Hall of fame:

Diese Hall of Fame wird seit August 2023 geführt.
Die folgenden Mitglieder sind in der Hall of Fame:

  • not_tobias
  • Prince Kumar
  • Raju Basak
  • Ankit Pandey
  • Sagar Yadav