Security & Compliance
Yoummday legt größten Wert auf die Sicherheit ihrer IT-Systeme. Trotz sorgfältigster Implementierung, Konfiguration und Tests können dennoch aber Schwachstellen vorhanden sein. Auf dieser Seite ist es unser Ziel, proaktiv relevante IT-Sicherheitsinformationen mit Ihnen zu teilen:
- Vulnerability Disclosure Policy (VDP) der Yoummday GmbH
- Zertifikate und Nachweise
- Datenschutzdokumente
Vulnerability Disclosure Policy der Yoummday GmbH
VDPyoummday - Hintergrund
Mit Einführung der VDPyoummday (Vulnerability Disclosure Policy der Yoummday GmbH) wurden Entwickler und Sicherheitsforschende dazu aufgerufen, Schwachstellen in den IT-Systemen der Yoummday GmbH aufzudecken. Durch die gute Zusammenarbeit mit Entwicklern weltweit konnten unsere Systeme bereits sicherer gemacht werden.
Mit unserer Vulnerable Disclosure Policy gehen wir einen modernen Weg, um Schwachstellen zu finden und zu schließen.
Dabei ist die Anwendung der VDPyoummday als Ergänzung zu eigenen Untersuchungen zu unbekannten Schwachstellen und Sicherheitslücken in unseren Systemen zu sehen. Die ist die Voraussetzung, um Schwachstellen und Lücken zu schließen und so das Risiko eines erfolgreichen Angriffs auf unsere IT-Systeme zu mindern.
Die VDPyoummday richtet sich dabei an alle IT-Sicherheitsforscherinnen und -forscher und Entwickler, die eine in unseren Systemen entdeckte Schwachstelle finden und mitteilen möchten.
VDP yoummday - Security Policy
Security Policy
Solltest du Schwachstellen in IT-Systemen und Webanwendungen der Yoummday GmbH entdecken, bitten wir dich uns darüber zu informieren. Wir werden dann umgehend Maßnahmen ergreifen, um die gefundene Schwachstelle so schnell wie möglich zu beheben.
Geh zur Meldung einer Schwachstelle wie folgt vor:
- Sende deine Ergebnisse zur gefundenen Schwachstelle mittels unseres VDP-Tool an yoummday. Bei der Nutzung des VDP-Tools sichern wir dir die vollständige Anonymität zu.
- Alternativ kannst du deine Erkenntnisse auch per E-Mail an security@yoummday.com senden. Eine vollständige Anonymität ist damit aber nicht zur gewährleisten. Bitte nutze für die Meldung die untenstehende Formatvorlage.
- Nutze die Schwachstelle oder das Problem nicht aus, indem du beispielsweise Daten herunterlädst, veränderst oder löschst.
- Gib Deine Informationen über die Schwachstelle nicht an dritte Personen oder Institutionen weiter.
- Führe keine Angriffe auf unsere IT-Systeme durch, die Infrastruktur und/oder Personen kompromittieren, verändern oder manipulieren könnten.
- Führe keine Social-Engineering (z.B. Phishing), (Distributed) Denial of Service, Spam oder andere Angriffe auf uns durch.
- Stelle uns hinreichend Informationen zur Verfügung, damit wir das Problem reproduzieren und analysieren können. In der Regel ist die Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle hinreichend. Komplexe Schwachstellen können aber weitere Erklärungen und Dokumentation erfordern.
Was wir DIR versprechen:
- Wir versuchen die Schwachstelle so schnell wie möglich zu schließen.
- Du erhältst von uns eine Rückmeldung zu deiner Meldung.
- Wir werden deinen Bericht vertraulich behandeln und deine personenbezogenen Daten nicht ohne deine Zustimmung an Dritte weitergeben.
- Der Finder wird nach seinen Fähigkeiten beurteilt und nicht nach Alter, Ausbildung, Geschlecht oder Herkunft. Wir zeigen diesen Respekt auch öffentlich und erkennen diese Leistung an. Dazu werden wir, wenn nichts anderes gewünscht ist, auf unserer Dankesseite die Beschreibung der geschlossenen Schwachstelle und den Namen (bzw. den Alias) des Entdeckers nennen, um so eine gute Zusammenarbeit mit yoummday auch öffentlich zum Ausdruck zu bringen.
Qualifizierte Meldung von Schwachstellen
Jedes Design- oder Implementierungsproblem kann gemeldet werden, das reproduzierbar ist und die Sicherheit beeinträchtigt. Häufige Beispiele sind:
- Cross Site Request Forgery (CSRF)
- Cross Site Scripting (XSS)
- Insecure Direct Object Reference
- Remote Code Execution (RCE) – Injection Flaws
- Information Leakage and Improper Error Handling
- Unbefugter Zugriff auf Eigenschaften oder Konten
- uvm.
Dies können aber auch sein:
- Daten-/Informations-Leaks
- Möglichkeit der Exfiltration von Daten / Informationen
- Aktiv ausnutzbare Hintertüren (Backdoors)
- Möglichkeit einer unautorisierten System-Nutzung
- Fehlkonfigurationen
Nicht-qualifizierte Schwachstellen
Die folgenden Schwachstellen fallen nicht in den Geltungsbereich der Vulnerability-Disclosure-Policy der Yoummday GmbH:
- Angriffe, die einen physischen Zugriff auf das Gerät oder Netzwerk eines Benutzers erfordern.
- Berichte von automatisierten Tools oder Scans ohne erklärende Dokumentation.
- Social Engineering gegen einzelne Personen, den Gesellschaften der Yoummday GmbH oder Auftragnehmer der Yoummday GmbH.
- Denial of Service Angriffe (DoS/DDoSDistributed Denial of Service).
- Bots, SPAM, Massenregistrierung.
Formatvorlage einer Schwachstellenmeldung (bei Nichtnutzung des VDP-Tools):
1. Titel / Bezeichnung der Schwachstelle
2. Schwachstellentypus
3. Kurzerklärung der Schwachstelle (ohne technische Details)
4. Betroffenes Produkt / Dienst / IT-System / Gerät
- Hersteller
- Produkt
- Version / Modell
5. Exploitationtechnik
- Remote
- Local
- Netzwerk
- Physisch
6. Authentication-Typ
- Pre-Auth
- Authentification Guest
- Benutzer-Privilegien (User / Moderator / Manager / Admin)
7. Benutzerinteraktion
8. Technische Details und Beschreibung der Schwachstelle
9. Proof of Concept
10. Aufzeigen einer Lösungsmöglichkeit
11. Autor und Kontaktdaten (wenn keine Anonymität gewünscht ist, ansonsten in ALIAS)
12. Einverständnis zur Nennung des Namens und der gefundenen Schwachstelle in der Danksagung
VDPyoummday – FAQ
Was ist das VDP?
Die Vulnerability Disclosure Policy der Yoummday GmbH (VDPyoummday) ist ein rechtlich abgestimmter Prozess zur verantwortungsvollen Offenlegung von gefundenen Schwachstellen bei der Yoummday GmbH durch IT-Sicherheitsforschende oder Entwickler. Eine monetäre Auslobung findet nicht statt.
Ich habe gestern eine Schwachstelle gemeldet, warum ist diese noch nicht geschlossen worden?
Wir sind bemüht, die gemeldeten Schwachstellen so schnell wie möglich zu schließen. Nach dem Eingang einer Schwachstellenmeldung wird diese in unseren Regelprozess aufgenommen. Hier kann es vorkommen, dass noch weitere Schwachstellen zur Bearbeitung in einer Warteschlange anstehen. Die Meldung wird zunächst auf Plausibilität geprüft. Wir müssen dazu gegebenenfalls auch mit dem jeweiligen Provider Kontakt aufnehmen und den Sachverhalt klären und Mitigationsmaßnahmen planen und umsetzen.
Was ist der Unterschied zwischen einer Gefahr/Bedrohung, einem Risiko, einer Schwachstelle, einem Schaden und einer Gefährdung bei der Yoummday GmbH?
Gefahren/Bedrohungen haben das grundsätzliche Potenzial einen Schaden zu verursachen.
Ein Schaden ist definiert als ein Nachteil, der durch die Minderung oder den Verlust an materiellen oder immateriellen Gütern entsteht.
Das Risiko ist ergibt sich aus den Faktoren Eintrittswahrscheinlichkeit und Schadenshöhe und ist üblicherweise nicht vollständig objektiv bewertbar.
Schwachstellen im Sinne der Informationstechnik sind Fehler innerhalb der eingesetzten Hard- und Software. Sie können unter anderem durch mangelhafte Programmierung, Konfiguration und Bedienung von IT-Systemen entstehen und zu einer Gefährdung führen.
Gefährdung beschreibt den Zustand, wenn eine reale Gefahr auf ein konkretes Asset einwirken kann und der Eintritt eines Schadens wahrscheinlich ist.
Gefahren für sich genommen gelten nicht als qualifizierte Schwachstellen. Schwachstellen deren Ausnutzung zu einer Gefährdung der Yoummday GmbH führt und bei denen der Eintritt eines Schadens wahrscheinlich ist, werden als qualifizierte Schwachstellen bezeichnet.
Darf ich mich mit anderen Personen zu der Schwachstelle austauschen?
Der verantwortungsvolle Umgang mit einer Schwachstelle bedeutet, dass du erst dann darüber berichtest oder dich mit anderen austauschst, wenn die Schwachstelle geschlossen wurde. Hierüber informieren wir dich selbstverständlich.
Wie lange braucht ihr, um Schwachstellen zu beheben?
Üblich ist es, die Schwachstellenmeldung spätestens 90 Tage nach Eingang abzuschließen. Es kommt je nach Komplexität einer Schwachstelle aber auch vor, dass es wesentlich länger dauert.
Wie ist euer Scope?
Die VDPyoummday erstreckt sich über alle Webauftritte und über das Internet erreichbare IT-Systeme der Yoummday GmbH.
Dürfen auch Scanner verwendet werden (z.B. Burp, Nessus, usw.)? Sind aktive Scans erlaubt?
Grundsätzlich kannst du Schwachstellenscanner für deine Arbeit einsetzen. Die Intensität sowie die Invasivität der aktiven Schwachstellenscans darf die Verfügbarkeit nicht beeinträchtigen. Ein invasives aktives Massen-Scanning ist also nicht zulässig. Zudem zählen eingereichte Berichte von automatisierten Tools ohne erklärende Dokumentation formal zu den nicht-qualifizierten Schwachstellen-Meldungen und werden nicht anerkannt.
Was ist eine qualifizierte Schwachstelle?
Eine qualifizierte Schwachstelle und damit verbundene Anerkennung zeichnen sich insbesondere dadurch aus, dass diese Schwachstelle eine Gefährdung bzw. ein Risiko für die IT-Infrastruktur, Personen oder Assets der Yoummday GmbH darstellt. Eine Bewertung über die Kritikalität und Ausnutzbarkeit der gemeldeten Schwachstelle obliegt der Yoummday GmbH.
VDPyoummday – Unser Dank an euch
Yoummday sagt danke
Der Meldende Entwickler oder IT-Sicherheitsforschende wird nach seinen Fähigkeiten beurteilt und nicht nach Alter, Ausbildung, Geschlecht oder Herkunft. Deshalb erkennen wir diese Leistung an und machen diese auch öffentlich. Im Moment vergüten wir die Meldung von qualifizierten Schwachstellen nicht monetär und bezahlen kein ‚Bug Bounty‘.
Wir nennen, wenn nichts anderes gewünscht ist, die Beschreibung der geschlossenen Schwachstelle und den Namen (bzw. den Alias) der Entdeckerin oder des Entdeckers, um so eine gute Zusammenarbeit mit yoummday auch öffentlich zum Ausdruck zu bringen.