LINDERA Vulnerability Program Guidelines

Wenn Sie eine Sicherheits- oder Datenschutzverwundbarkeit in LINDERA-Software oder -Diensten entdeckt haben, melden Sie diese bitte direkt an uns. Wir prüfen alle qualifizierten Einreichungen für mögliche Sicherheitsprämien.

Was ist im Scope?

• *.lindera.de (ausgenommen www.lindera.de, *.admin.lindera.de)
• LINDERA Mobilitätsanalyse App (L.Care)

Was ist nicht erlaubt?

• Zugriff auf Nutzerdaten - testen Sie nur mit Ihrem eigenen Nutzer oder nur mit LINDERA-Mitarbeiter-Accounts (*@lindera.de), wenn Ihr eigener Nutzer nicht existiert.
• Beeinträchtigung der Produktivsysteme für andere Nutzer:innen
• Angriffe auf Kundensysteme
• Angriffe auf Systeme unserer Integrationspartner
• Angriffe auf Anwendungen, die das LINDERA SDK, L.Gait, L.Ortho nutzen

Ausgeschlossene Schwachstellen:

• Schwachstellen auf statischen Websites ohne sensible Daten oder Aktionen
• Clickjacking auf Seiten ohne sensible Aktionen
• Unauthentifizierte/Logout/Login CSRF
• Angriffe, die MITM oder physischen Zugriff auf das Gerät eines Nutzers erfordern
• Angriffe, die Social Engineering erfordern
• Aktivitäten, die zur Störung unseres Dienstes führen könnten (DoS)
• Content Spoofing und Text-Injection-Probleme ohne Angabe eines Angriffsvektors/ohne Möglichkeit zur Modifikation von HTML/CSS
• E-Mail-Spoofing
• Fehlende DNSSEC, CAA, CSP, HSTS Header
• Fehlende Secure oder HTTP-only Flags bei nicht-sensiblen Cookies
• Tote Links und Broken Links
• Verwendung bekannter verwundbarer Software früher als 30 Tage nach Bekanntgabe einer Schwachstelle und ohne Nachweis der Ausnutzbarkeit

Wie werden Prämien festgelegt?

• Prämien werden nach unserem Ermessen festgelegt. Die Belohnung wird basierend auf dem Umfang der Schwachstelle sowie der Vollständigkeit und Qualität des Berichts entschieden.

Wann ist mein Bericht prämienberechtigt?

• Sie müssen der Erste sein, der das Problem direkt an uns per E-Mail meldet.
• Ihr Bericht muss klar und detailliert sein und eine Möglichkeit zur Reproduktion des Problems aufzeigen.
• Sie müssen eine NDA unterzeichnen, in der Sie sich verpflichten, das Problem nicht öffentlich zu machen und alle während der Recherche gesammelten Informationen zu löschen.

Was macht einen vollständigen Bericht aus?

• Eine detaillierte Beschreibung des Problems/der Probleme und des beobachteten Verhaltens sowie des erwarteten Verhaltens.
• Eine nummerierte Liste der Schritte, die zur Reproduktion des Problems erforderlich sind.
• Ein zuverlässiger Exploit für das gemeldete Problem.
• Details zu verwandten Problemen oder Varianten.

Was macht einen guten Bericht aus?

• Ein guter Bericht ist reproduzierbar, sodass wir ihn im Rahmen des Vulnerability Bounty Programs akzeptieren und angemessen bewerten können.

Wie melde ich eine Schwachstelle?

• Senden Sie eine E-Mail an security@lindera.de unter Beachtung der Richtlinien auf dieser Seite.

Was wir versprechen

• Wir werden innerhalb von 7 Werktagen auf Ihren Bericht mit unserer Einschätzung und einem erwarteten Lösungstermin antworten.
• Wenn Sie die oben genannten Anweisungen befolgt haben, werden wir keine rechtlichen Schritte gegen Sie in Bezug auf den Bericht einleiten.
• Wir werden Ihren Bericht streng vertraulich behandeln und Ihre persönlichen Daten nicht ohne Ihre Erlaubnis an Dritte weitergeben.
• Wir werden Sie über den Fortschritt bei der Lösung des Problems auf dem Laufenden halten.