Yoummday legt größten Wert auf die Sicherheit ihrer IT-Systeme. Trotz sorgfältigster Implementierung, Konfiguration und Tests können dennoch aber Schwachstellen vorhanden sein. Auf dieser Seite ist es unser Ziel, proaktiv relevante IT-Sicherheitsinformationen mit Ihnen zu teilen:
Mit Einführung der VDPyoummday (Vulnerability Disclosure Policy der Yoummday GmbH) wurden Entwickler und Sicherheitsforschende dazu aufgerufen, Schwachstellen in den IT-Systemen der Yoummday GmbH aufzudecken. Durch die gute Zusammenarbeit mit Entwicklern weltweit konnten unsere Systeme bereits sicherer gemacht werden.
Mit unserer Vulnerable Disclosure Policy gehen wir einen modernen Weg, um Schwachstellen zu finden und zu schließen.
Dabei ist die Anwendung der VDPyoummday als Ergänzung zu eigenen Untersuchungen zu unbekannten Schwachstellen und Sicherheitslücken in unseren Systemen zu sehen. Die ist die Voraussetzung, um Schwachstellen und Lücken zu schließen und so das Risiko eines erfolgreichen Angriffs auf unsere IT-Systeme zu mindern.
Die VDPyoummday richtet sich dabei an alle IT-Sicherheitsforscherinnen und -forscher und Entwickler, die eine in unseren Systemen entdeckte Schwachstelle finden und mitteilen möchten.
Solltest du Schwachstellen in IT-Systemen und Webanwendungen der Yoummday GmbH entdecken, bitten wir dich uns darüber zu informieren. Wir werden dann umgehend Maßnahmen ergreifen, um die gefundene Schwachstelle so schnell wie möglich zu beheben.
Jedes Design- oder Implementierungsproblem kann gemeldet werden, das reproduzierbar ist und die Sicherheit beeinträchtigt. Häufige Beispiele sind:
Dies können aber auch sein:
Die folgenden Schwachstellen fallen nicht in den Geltungsbereich der Vulnerability-Disclosure-Policy der Yoummday GmbH:
1. Titel / Bezeichnung der Schwachstelle
2. Schwachstellentypus
3. Kurzerklärung der Schwachstelle (ohne technische Details)
4. Betroffenes Produkt / Dienst / IT-System / Gerät
- Hersteller
- Produkt
- Version / Modell
5. Exploitationtechnik
- Remote
- Local
- Netzwerk
- Physisch
6. Authentication-Typ
- Pre-Auth
- Authentification Guest
- Benutzer-Privilegien (User / Moderator / Manager / Admin)
7. Benutzerinteraktion
8. Technische Details und Beschreibung der Schwachstelle
9. Proof of Concept
10. Aufzeigen einer Lösungsmöglichkeit
11. Autor und Kontaktdaten (wenn keine Anonymität gewünscht ist, ansonsten in ALIAS)
12. Einverständnis zur Nennung des Namens und der gefundenen Schwachstelle in der Danksagung
Was ist das VDP?
Die Vulnerability Disclosure Policy der Yoummday GmbH (VDPyoummday) ist ein rechtlich abgestimmter Prozess zur verantwortungsvollen Offenlegung von gefundenen Schwachstellen bei der Yoummday GmbH durch IT-Sicherheitsforschende oder Entwickler. Eine monetäre Auslobung findet nicht statt.
Ich habe gestern eine Schwachstelle gemeldet, warum ist diese noch nicht geschlossen worden?
Wir sind bemüht, die gemeldeten Schwachstellen so schnell wie möglich zu schließen. Nach dem Eingang einer Schwachstellenmeldung wird diese in unseren Regelprozess aufgenommen. Hier kann es vorkommen, dass noch weitere Schwachstellen zur Bearbeitung in einer Warteschlange anstehen. Die Meldung wird zunächst auf Plausibilität geprüft. Wir müssen dazu gegebenenfalls auch mit dem jeweiligen Provider Kontakt aufnehmen und den Sachverhalt klären und Mitigationsmaßnahmen planen und umsetzen.
Was ist der Unterschied zwischen einer Gefahr/Bedrohung, einem Risiko, einer Schwachstelle, einem Schaden und einer Gefährdung bei der Yoummday GmbH?
Gefahren/Bedrohungen haben das grundsätzliche Potenzial einen Schaden zu verursachen.
Ein Schaden ist definiert als ein Nachteil, der durch die Minderung oder den Verlust an materiellen oder immateriellen Gütern entsteht.
Das Risiko ist ergibt sich aus den Faktoren Eintrittswahrscheinlichkeit und Schadenshöhe und ist üblicherweise nicht vollständig objektiv bewertbar.
Schwachstellen im Sinne der Informationstechnik sind Fehler innerhalb der eingesetzten Hard- und Software. Sie können unter anderem durch mangelhafte Programmierung, Konfiguration und Bedienung von IT-Systemen entstehen und zu einer Gefährdung führen.
Gefährdung beschreibt den Zustand, wenn eine reale Gefahr auf ein konkretes Asset einwirken kann und der Eintritt eines Schadens wahrscheinlich ist.
Gefahren für sich genommen gelten nicht als qualifizierte Schwachstellen. Schwachstellen deren Ausnutzung zu einer Gefährdung der Yoummday GmbH führt und bei denen der Eintritt eines Schadens wahrscheinlich ist, werden als qualifizierte Schwachstellen bezeichnet.
Darf ich mich mit anderen Personen zu der Schwachstelle austauschen?
Der verantwortungsvolle Umgang mit einer Schwachstelle bedeutet, dass du erst dann darüber berichtest oder dich mit anderen austauschst, wenn die Schwachstelle geschlossen wurde. Hierüber informieren wir dich selbstverständlich.
Wie lange braucht ihr, um Schwachstellen zu beheben?
Üblich ist es, die Schwachstellenmeldung spätestens 90 Tage nach Eingang abzuschließen. Es kommt je nach Komplexität einer Schwachstelle aber auch vor, dass es wesentlich länger dauert.
Wie ist euer Scope?
Die VDPyoummday erstreckt sich über alle Webauftritte und über das Internet erreichbare IT-Systeme der Yoummday GmbH.
Dürfen auch Scanner verwendet werden (z.B. Burp, Nessus, usw.)? Sind aktive Scans erlaubt?
Grundsätzlich kannst du Schwachstellenscanner für deine Arbeit einsetzen. Die Intensität sowie die Invasivität der aktiven Schwachstellenscans darf die Verfügbarkeit nicht beeinträchtigen. Ein invasives aktives Massen-Scanning ist also nicht zulässig. Zudem zählen eingereichte Berichte von automatisierten Tools ohne erklärende Dokumentation formal zu den nicht-qualifizierten Schwachstellen-Meldungen und werden nicht anerkannt.
Was ist eine qualifizierte Schwachstelle?
Eine qualifizierte Schwachstelle und damit verbundene Anerkennung zeichnen sich insbesondere dadurch aus, dass diese Schwachstelle eine Gefährdung bzw. ein Risiko für die IT-Infrastruktur, Personen oder Assets der Yoummday GmbH darstellt. Eine Bewertung über die Kritikalität und Ausnutzbarkeit der gemeldeten Schwachstelle obliegt der Yoummday GmbH.
Der Meldende Entwickler oder IT-Sicherheitsforschende wird nach seinen Fähigkeiten beurteilt und nicht nach Alter, Ausbildung, Geschlecht oder Herkunft. Deshalb erkennen wir diese Leistung an und machen diese auch öffentlich. Im Moment vergüten wir die Meldung von qualifizierten Schwachstellen nicht monetär und bezahlen kein ‚Bug Bounty‘.
Wir nennen, wenn nichts anderes gewünscht ist, die Beschreibung der geschlossenen Schwachstelle und den Namen (bzw. den Alias) der Entdeckerin oder des Entdeckers, um so eine gute Zusammenarbeit mit yoummday auch öffentlich zum Ausdruck zu bringen.