Fehler- und Sicherheitsrichtlinie

Das Team von eventplanner.net legt großen Wert auf den Schutz der Daten unserer Benutzer. Als kleines Unternehmen konzentrieren wir unsere Bemühungen auf die Zusammenarbeit mit einer ausgewählten Gruppe von Sicherheitsforschern und -tools. Wir haben das Glück, das Vertrauen und die Unterstützung unserer Gemeinschaft zu haben. Daher bieten wir kein traditionelles „Bounty-Programm“ mit finanziellen Belohnungen an.

Wir freuen uns, wenn engagierte Sicherheitsforscher, die legitime Schwachstellen mit erheblichen Auswirkungen identifizieren, ihre Erkenntnisse mit uns teilen. Wir schätzen ethische Hacker wegen ihrer entscheidenden Rolle bei der Aufrechterhaltung der Cybersicherheit sehr und obwohl wir ein kleines Unternehmen mit begrenzten Mitteln sind, tragen wir zu dieser Gemeinschaft bei. Wenn dein Ansatz hingegen hauptsächlich automatisierte Tools nutzt, um kleinere Probleme aufzudecken und dann eine Auszahlung zu beantragen, müssen wir dich darüber informieren, dass du am Ende möglicherweise unzufrieden bist.

Der Geltungsbereich dieser Richtlinie ist auf die folgenden Domains beschränkt: eventplanner.net, eventplanner.be, eventplanner.nl, eventplanner.es, eventplanner.de, eventplanner.ie, eventplanner.co.uk, eventplanner.lu und eventplanner.fr. Bitte beachte, dass die Codebasis für alle diese Domains gleich ist, daher ist es am besten, dein Engagement auf die Hauptdomain eventplanner.net zu konzentrieren.

Im Rahmen dieser Richtlinie verpflichten wir uns, alle aufgenommenen Fehler innerhalb einer angemessenen Zeit zu beheben, abhängig von Schweregrad und Komplexität.

Die offizielle Sprache dieser Richtlinie ist Englisch, die als Haupt- und maßgebliche Version dient. Im Falle einer Diskrepanz zwischen der englischen Version dieser Richtlinie und etwaigen späteren Übersetzungen hat die englische Version Vorrang und ist maßgebend.

Einsatzregeln

Wenn du uns nach der Lektüre der oben genannten Informationen dennoch Schwachstellen mitteilen möchtest, erkennst du an, dass wir kein „Bounty-Programm“ betreiben und alle potenziellen Belohnungen auf der Grundlage unserer Kriterien für die Verteilung von Belohnungen angeboten werden. Indem du deine Berichte einreichst, erklärst du dein Einverständnis und deine Verpflichtung, die in dieser Richtlinie genannten Richtlinienrichtlinien und rechtlichen Bedingungen einzuhalten, und bestätigen, dass du diese Bedingungen gelesen und vollständig verstanden hast.

Richtlinienregeln

  • Teste Schwachstellen nur mit Konten, die dir persönlich gehören. Gefährde niemals Konten anderer Benutzer oder greife diese ins Visier. eventplanner.net stellt keine zusätzlichen Zugänge oder Konten, einschließlich Testkonten, zur Verfügung.
  • Interagiere nicht mit den Inhalten unserer Benutzer, z. B. indem du Beiträge likest, kommentierst oder Angebote anforderst. Um mit diese Funktionen zu testen, besuche bitte unsere spezielle Testseite.
  • Nutze niemals einen Befund, um Daten zu komprimieren oder zu exfiltrieren oder auf andere Systeme auszuweichen. Ein Proof of Concept sollte nur zur Demonstration eines Problems verwendet werden.
  • Wenn der Prozess der Entdeckung einer Schwachstelle dazu führt, dass auf vertrauliche Informationen wie persönliche Daten oder Anmeldeinformationen zugegriffen wird, dürfen diese Informationen nach deiner ersten Entdeckung nicht aufbewahrt, übertragen, abgerufen oder in irgendeiner Weise verarbeitet werden. Alle Fälle sensibler Informationen müssen gelöscht werden.
  • Forscher dürfen nicht und sind nicht berechtigt, an Aktivitäten teilzunehmen, die für eventplanner.net, deren Marken oder Benutzer, störend, schädlich oder gefährlich sein könnten. Dazu gehören Social Engineering, Phishing, physische Sicherheit und Denial-of-Service-Angriffe gegen Benutzer und Mitarbeiter oder eventplanner.net
  • Bei der Suche nach Schwachstellen ist es verboten, die Integrität, Verfügbarkeit und Vertraulichkeitsbedingungen der Anwendungen und Dienste von eventplanner.net zu gefährden. Jegliche Aktivitäten, die den Anwendungen, der Infrastruktur, den Kunden oder Partnern des Unternehmens schaden könnten, sind strengstens untersagt.
  • Beim Testen der SQL-Injection sind jegliche Serveraktionen streng verboten, mit Ausnahme des Abrufens von Informationen über die aktuelle Datenbank, der Version, den aktuellen Benutzer oder den Hostnamen.
  • Beim Testen des Ladens und Lesens von Dateien ist es strengstens verboten, Serverdateien, einschließlich Systemdateien, zu lesen, zu ändern, zu modifizieren, zu löschen oder zu ersetzen.
  • Rechercheuren ist es nicht gestattet, ohne die ausdrückliche schriftliche Genehmigung von eventplanner.net Schwachstellen öffentlich zu machen (jegliche Details an andere als autorisierte Mitarbeiter von eventplanner.net weiterzugeben) oder Schwachstellen an Drittparteien weiterzugeben. Eine Offenlegung gegenüber Behörden ist nur nach gegenseitiger Absprache und mit Genehmigung von eventplanner.net möglich
  • Sorge für minimale Störungen. Halte dich stets an die Richtlinienregeln. Verwende keine automatisierten Scanner und Tools. Diese Tools enthalten Nutzlasten, die Zustandsänderungen auslösen oder Produktionssysteme und Daten beschädigen könnten.
  • Führe keine Tests durch, die über das zur Erkennung der Schwachstelle erforderliche Maß hinausgehen.
  • Bevor du möglicherweise Schaden anrichtest, stelle die Aktivität ein, melde deine Ergebnisse und fordere eine zusätzliche Testgenehmigung an.
  • Unter keinen Umständen dürfen betrügerische Absichten oder eine vorsätzliche Handlung zum Schaden in die Genehmigung dieser Police einbezogen werden.

Ein Verstoß gegen eine dieser Regeln kann zum Ausschluss der Teilnahmeberechtigung und zu strafrechtlicher Verfolgung führen.

Rechtlichen Bestimmungen

In Bezug auf diese Richtlinie verpflichtest du dich, die Nutzungsbedingungen und Datenschutzrichtlinien von eventplanner.net sowie alle geltenden Gesetze und Vorschriften einzuhalten, einschließlich der Gesetze oder Vorschriften, die den Datenschutz oder die rechtmäßige Datenverarbeitung regeln.

eventplanner.net behält sich das Recht vor, die Bedingungen dieser Richtlinie nach eigenem Ermessen zu überarbeiten oder zu ergänzen. Wenn du ein Einwohner oder eine Einzelperson bist, die sich innerhalb der EU-Sanktionskarte (wie von der Europäischen Union herausgegeben) befindet, ist dir die Teilnahme untersagt.

eventplanner.net gewährt keiner Person oder Personengruppe die stillschweigende oder ausdrückliche Erlaubnis, (1) persönliche Informationen oder Inhalte von eventplanner.net-Kunden oder deren Benutzern ohne Zustimmung des Benutzers zu extrahieren und zu veröffentlichen oder (2) Programme oder Daten zu ändern oder zu beschädigen die eventplanner.net, seinen Partnern oder Lieferanten gehören, mit dem Ziel, Daten zu extrahieren und öffentlich zugänglich zu machen.

Das Gesetz vom 28. November 2022 (Belgisches Gesetz) über den Schutz derjenigen, die Verstöße gegen das Recht der Europäischen Union oder des nationalen Rechts melden, das innerhalb einer juristischen Einheit im Privatsektor verortet ist, bleibt in vollem Umfang in Kraft.

Mitarbeiter von eventplanner.net (einschließlich ehemaliger Mitarbeiter), Freiberufler, Auftragnehmer und deren Personal, Berater, unmittelbare Familienmitglieder und Personen, die im selben Haushalt leben, haben keinen Anspruch auf Prämien oder Belohnungen jeglicher Art.

Persönliche Daten

Die Verarbeitung personenbezogener Daten ist nicht in dieser Richtlinie enthalten. Im Falle einer konkreten Handlung oder Entdeckung einer Schwachstelle, die personenbezogene Daten preisgibt, sollte eventplanner.net umgehend kontaktiert werden, um zu prüfen, ob die Sicherheitsuntersuchung fortgesetzt werden kann. Die Verarbeitung personenbezogener Daten unterliegt immer der Unterzeichnung einer DPA (Datenverarbeitungsvereinbarung), in der die unten aufgeführten Garantien gewährleistet sein müssen:

  • personenbezogene Daten nur auf Grundlage schriftlicher Weisungen von eventplanner.net zu verarbeiten;
  • um eine schriftliche Bestätigung zu erhalten, müssen alle Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind, eine NDA (Geheimhaltungsvereinbarung), eine DPA (Datenverarbeitungsvereinbarung) unterzeichnen und alle geltenden europäischen Gesetze befolgen, einschließlich der Aufbewahrung der Daten in Europa;
  • du musst geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten;
  • die vorherige Zustimmung von eventplanner.net einholen, um einen weiteren ethischen Hacker zu beschäftigen und diesen zur Einhaltung des Inhalts dieser Richtlinie zu verpflichten;
  • eventplanner.net durch geeignete technische und organisatorische Maßnahmen so weit wie möglich bei der Erfüllung seiner Verpflichtung zu unterstützen, auf Anfragen zur Ausübung der Rechte der betroffenen Person zu antworten;
  • Unterstützung von eventplanner.net bei der Sicherstellung der Einhaltung der in den Artikeln 32 bis 36 der DSGVO festgelegten Verpflichtungen (Sicherheit, Meldung von Verstößen, Auswirkungsanalyse, vorherige Konsultation) unter Berücksichtigung der Art der Verarbeitung und der dem ethischen Hacker zur Verfügung stehenden Informationen;
  • Eventplanner.net unverzüglich benachrichtigen, sobald ein unbefugter Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt;
  • nach der Teilnahme an den Aktivitäten im Rahmen der Richtlinie alle personenbezogenen Daten zu löschen oder sie an eventplanner.net zurückzugeben und vorhandene Kopien zu löschen;
  • eventplanner.net alle notwendigen Informationen zur Verfügung stellen, um die Einhaltung von dessen Verpflichtungen zu demonstrieren, einschließlich eines Verzeichnisses aller Kategorien von Verarbeitungsaktivitäten, die im Auftrag von eventplanner.net durchgeführt wurden;
  • die Verwendung personenbezogener Daten für andere Zwecke als die Erkennung von Schwachstellen im System oder die Weitergabe dieser Daten an Dritte wird ausgeschloßen;

Geheimhaltungsvereinbarung

Bevor du dich mit Diskussionen über identifizierte Schwachstellen im Rahmen dieser Richtlinie befasst, einschließlich Themen wie Vergütung, musst du zunächst eine Geheimhaltungsvereinbarung mit uns unterzeichnen. Dies dient als Voraussetzung, bevor wir fortfahren.

Safe harbour

eventplanner.net verspricht, keine rechtlichen Schritte einzuleiten oder eine strafrechtliche Untersuchung gegen einen Marktforscher einzuleiten, der eine Sicherheitslücke meldet, solange sich der Marktforscher strikt an diese Richtlinie hält.

Es ist wichtig zu wissen, dass, wenn deine Sicherheitsuntersuchung die Netzwerke, Systeme, Daten, Anwendungen, Produkte oder Dienste eines anderen Unternehmens (außer uns) betrifft, es im Ermessen dieses Unternehmens liegt, über die Einleitung rechtlicher Schritte zu entscheiden. Wir sind nicht befugt, Sicherheitsforschung im Namen anderer Organisationen zu sanktionieren. Für den Fall, dass ein Dritter ein Gerichtsverfahren gegen dich einleitet und du dich an diese Richtlinie gehalten hast, werden wir angemessene Maßnahmen ergreifen, um offenzulegen, dass deine Aktivitäten im Einklang mit dieser Richtlinie standen.

Diese Richtlinie kann keinesfalls eine Anstiftung zum Hacken durch Dritte darstellen.

Wie immer musst du alle relevanten Gesetze und Vorschriften einhalten.

Bevor du an Aktivitäten teilnimmst, die im Widerspruch zu dieser Richtlinie stehen oder von dieser nicht abgedeckt werden könnten, sende bitte einen Bericht an security@eventplanner.net

Testen

Der tägliche Webverkehr, der zwischen eventplanner.net, unseren zugehörigen Domains und unseren Hosting-Partnern ausgetauscht wird, erzeugt immense Datenmengen. Bei der Durchführung von Tests ist es für uns von Vorteil, wenn du deinen Testverkehr von unseren regulären Daten und potenziell schädlichen externen Einheiten unterscheiden kannst. Daher bitten wir dich, bei deinem Test folgende Schritte zu beachten:

  • Wenn möglich, verwende bitte für die Registrierung von Konten die primäre E-Mail-Adresse, die du für die Kommunikation mit eventplanner.net verwendest.
  • Gebe deine IP-Adresse in deinen Fehlerbericht ein. Wir versichern dir, dass diese Informationen vertraulich behandelt und ausschließlich zur Überprüfung von Protokollen im Zusammenhang mit deinen Testaktivitäten verwendet werden.
  • Integriere einen eindeutigen HTTP-Header in deinem gesamten Datenverkehr. Proxys wie Burp ermöglichen das einfache und automatische Hinzufügen von Headern zu allen ausgehenden Anfragen. Teile uns den von dir eingestellten Header mit, damit wir ihn leicht identifizieren können.

Einen Bericht einreichen

Wenn unser Sicherheitsteam ein Problem nicht reproduzieren oder validieren kann, kann kein Kopfgeld gewährt werden. Um die Effizienz unseres Einreichungsprozesses zu steigern, bitten wir darum, dass die Einreichungen Folgendes enthalten:

  • Eine detaillierte Beschreibung der Schwachstelle
  • Eine Anleitung mit detaillierten Informationen zu den Schritten, die zum Reproduzieren der gemeldeten Sicherheitslücke erforderlich sind
  • Beweise, die die Ausnutzbarkeit belegen (z. B. Screenshot, Video)
  • Voraussichtliche Auswirkung auf einen anderen Benutzer oder die Organisation
  • Vorgeschlagener CVSSv3-Vektor und -Score (ohne Umgebungs- und Zeitmodifikatoren)
  • Liste der URLs und betroffenen Parameter
  • Andere anfällige URLs, zusätzliche Payloads, Proof-of-Concept-Code
  • Informationen zum beim Test verwendeten Browser, Betriebssystem und/oder App-Version

Bitte beachte: Die Nichteinhaltung dieser Mindestanforderungen kann zum Verlust einer Prämie führen.

Alle Belege und sonstigen Anhänge sollten ausschließlich in dem von dir eingereichten Bericht gespeichert werden. Unterließ es, Dateien auf externen Diensten zu hosten. Bitte sende alle Sicherheitsberichte per E-Mail mit Anhängen an security@eventplanner.net

Belohnungen

Wie bereits erwähnt, betreiben wir kein traditionelles „Kopfgeldprogramm“ mit monetären Belohnungen. Dennoch haben wir großen Respekt vor ethischen Hackern und der unschätzbaren Arbeit, die sie leisten, und sind daher bestrebt, deine Bemühungen zu entlohnen, auch wenn wir ein kleines Unternehmen mit begrenzten Ressourcen sind. Das bedeutet, dass wir keine feste Vergütung garantieren können, aber wir bemühen uns um eine Vergütung innerhalb der unten angegebenen Grenzen.

Wir kategorisieren Fehler nach ihrem Schweregrad, der von eventplanner.net subjektiv bestimmt wird. Wenn Prämien als angemessen erachtet werden, liegt die Entscheidung ausschließlich im Ermessen von eventplanner.net, und solche Prämien, falls vorhanden, werden innerhalb eines Zeitraums von 30 Tagen bearbeitet. Normalerweise bieten wir keine Belohnungen für Schwachstellen an, die übermäßig komplizierte Interaktionen erfordern oder deren Auswirkungen oder Sicherheitsrisiko als minimal angesehen werden. Bei Anhaltspunkten für Verstöße gegen die Richtlinien können Prämien einbehalten werden.

Schweregrad > Mögliche Belohnung, nicht garantiert:

  • Kritisch > € 500
  • Hoch > € 150-350
  • Mittel > € 50
  • Niedrig > € 0, aber ein großes Dankeschön
  • Informativ > € 0

Außer Reichweite

Bestimmte Schwachstellen gelten als außerhalb des Geltungsbereichs liegende. Zu diesen Schwachstellen außerhalb des Anwendungsbereichs gehören unter anderem:

  • Spam
  • Scannerausgabe oder vom Scanner generierte Berichte
  • Sicherheitslücken in Anwendungen, Bibliotheken und Websites Dritter, die in eventplanner.net integriert sind
  • Probleme, die uns bereits bekannt sind oder über die wir bereits berichtet haben
  • Probleme, die eine unwahrscheinliche Benutzerinteraktion erfordern
  • Durch automatisierte Tests gefundene Probleme
  • Probleme im Zusammenhang mit Netzwerkprotokollen
  • Offenlegung der Softwareversion
  • Ausführliche Fehlerseiten (ohne Nachweis der Ausnutzbarkeit)
  • Unvollständiger/fehlender SPF/DKIM/DMARC
  • Clickjacking/UI redressing
  • Verwendung einer bekanntermaßen anfälligen Bibliothek (ohne Nachweis der Ausnutzbarkeit)
  • Körperliche Angriffe
  • Absichtliche offene Weiterleitungen
  • Reflected file download
  • Attribut zur automatischen Vervollständigung in Webformularen
  • Offenlegung von Informationen, die kein erhebliches Risiko darstellen
  • Sicherheitslücken, die Social Engineering/Phishing erfordern
  • DDoS-Angriffe (Distributed Denial of Service).
  • Websiteübergreifende Anforderungsfälschung mit minimalen Auswirkungen auf die Sicherheit
  • CSV-Injektion
  • Allgemeine Best-Practice-Bedenken (einschließlich SSL/TLS)
  • Man-in-the-Middle-Angriffe
  • Host-Header-Injektionen ohne spezifische, nachweisbare Auswirkung
  • Self-XSS, das alle vom Opfer eingegebenen Nutzdaten umfasst
  • Anmelden/Abmelden CSRF
  • CSRF und XSS ohne Einfluss auf sensible Daten
  • Umgehe die Überprüfung auf Root und Jailbreak
  • Nachrichten über die Nachteile der Verwendung von SMS-Codes
  • Unbegrenzter Versand von SMS und E-Mail
  • Probleme mit E-Mails, SMS oder anderen Nachrichten
  • Informationen zu IP-Adressen, DNS-Einträgen und offenen Ports
  • Tabnabbing
  • Vollständige Pfadoffenlegung
  • Probleme im Zusammenhang mit der Cache-Steuerung
  • Hypothetische Belange, die keine praktischen Auswirkungen haben
  • Fehlende Cookie-Flags
  • Broken link hijacking
  • UX/UI-Fehler und Rechtschreibfehler
  • Öffentlich veröffentlichte Fehler in Internetsoftware innerhalb von 30 Tagen nach ihrer Offenlegung
  • Verwandte Probleme wie „Gleicher Fehler, anderer Host/unterschiedliche Domäne“ oder „Gleiche Nutzlast, anderer Parameter“
  • Richtlinien, Header oder andere Einstellungen

Fragen

Bei Fragen zu unserer Richtlinie wende dich bitte an security@eventplanner.net. Wir schätzen deine Kooperation.

EVENTS - Kevin Van der Straeten Kaufe jetzt!