Bug Bounty – Sicherheitslücken melden

Mit unserem Bug Bounty Programm können Sie uns bei der raschen Behebung von technischen Schwachstellen unterstützen. Sowohl Privatpersonen wie auch Organisationen laden wir ein, unserem Computer Emergency Response Team (CERT) Schwachstellen zu melden.

Schwachstelle melden

Bitte melden Sie uns die erkannte Schwachstelle direkt via Meldeformular:

Inhalt der Meldung

Damit wir die notwendigen Informationen zur Nachvollziehbarkeit der Schwachstelle erhalten, brauchen wir folgende Angaben:

  • Typ der Schwachstelle
  • Genaue Angaben zum betroffenen Produkt/Service
  • Klare Beschreibung der Schwachstelle mit allen nötigen Informationen, um das betroffene System zu identifizieren
  • Die Ausnutzbarkeit der Schwachstelle muss nachweislich dokumentiert werden können, z.B. mit einer schrittweisen Anleitung
  • Zusätzliche Informationen wie PoC-Skripte, Screenshots, HTTP-Requests, etc.

Das alleinige Fehlen eines Sicherheitsfeatures oder zu viel preis gegebene, nicht-sensitive Informationen gelten nicht als Schwachstelle und wird nicht berücksichtigt. Wie z.B.:

  • Information Disclosure ohne sensitive Daten preiszugeben
  • Clickjacking
  • Open Redirects

Grundsatz

Bei der Zusammenarbeit zwischen der Talus Informatik AG und der Security-Community halten sich alle Beteiligten an die folgenden Regeln:

  • Die Schwachstelle darf in der Öffentlichkeit nicht preisgegeben werden.
  • Gehen Sie verantwortungsbewusst mit den in Ihrem Besitz befindlichen Informationen um.
  • Die Meldung erfolgt ausschliesslich an die Talus Informatik AG.
  • Tun Sie nichts weiter als das, was zum Nachweis der Sicherheitslücke erforderlich ist.
  • Alle Aktivitäten, die zur Entdeckung einer Schwachstelle führen, bewegen sich im gesetzlich zulässigen Rahmen.
  • Es dürfen keine Änderungen am System oder an den Daten vorgenommen werden.
  • Die Tests dürfen Dienstleistungen und Produkte der Talus Informatik und deren Kunden nicht beeinträchtigen.
  • Daten Dritter dürfen weder ausgespäht noch weitergegeben werden. 
  • Wenn die Schwachstelle die Sie gemeldet haben, qualitativ gut dokumentiert wurde und tatsächlich eine Gefahr für den Betrieb darstellt, kann die Talus Informatik AG als Anerkennung eine Belohnung ausschütten.
  • Forderungen im Zusammenhang mit der Meldung einer Schwachstelle werden nicht berücksichtigt.

Meldeformular

Kontaktangaben

Hinweis zur Verwendung von Cookies.

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unseren Datenschutzinformationen.