Richtlinie zur Offenlegung von Sicherheitslücken
Zuletzt aktualisiert: 22. Oktober 2024
Zuletzt aktualisiert: 22. Oktober 2024
Floin, eine führende Kryptowährungs-Plattform mit Sitz in Liechtenstein, hat es sich zur Aufgabe gemacht, die Sicherheit und Integrität seiner Systeme und Benutzerdaten zu gewährleisten. Diese Richtlinie zur Offenlegung von Schwachstellen bietet einen strukturierten Ansatz für Sicherheitsforscher, um potenzielle Schwachstellen zu melden und sicherzustellen, dass diese umgehend und effektiv behoben werden.
Bitte beachten Sie, dass diese Seite keine Form von Entschädigung für Handlungen bietet, die entweder gegen das Gesetz oder diese Richtlinie verstoßen. Weder Floin noch Drittparteien kommen für solche Entschädigungen auf.
Diese Richtlinie gilt für die folgenden Systeme und Dienste:
Alle öffentlich zugänglichen Websites und Anwendungen, die von Floin verwaltet werden.
Subdomänen, die mit diesen primären Domänen verbunden sind, sofern nicht ausdrücklich ausgeschlossen.
Systeme, die in diesem Dokument ausdrücklich als in den Geltungsbereich fallend erwähnt werden.
Schwachstellen, die in den Geltungsbereich fallen, müssen originär, zuvor nicht gemeldet worden und dürfen nicht bereits durch interne Verfahren entdeckt worden sein.
Die folgenden Punkte fallen nicht in den Geltungsbereich dieser Richtlinie:
Denial of Service (DoS)-Angriffe.
Physische Tests, wie z. B. Bürozugang, Social Engineering (z. B. Phishing) und andere nicht-technische Schwachstellen-Tests.
Systeme, die nicht ausdrücklich als in den Geltungsbereich fallend aufgeführt sind.
Berichte über nicht ausnutzbare Schwachstellen oder Berichte, die darauf hindeuten, dass unsere Dienste nicht vollständig mit den „Best Practices“ (bewährte Praxis) übereinstimmen, z. B. fehlende Sicherheits-Header (Kopfzeilen), fallen nicht in den Geltungsbereich.
1. Kontaktinformationen: Schwachstellenberichte sollten an folgende Adresse geschickt werden:
Floin Sicherheitsteam: [email protected]
2. Erforderliche Informationen : die Ihr Bericht enthalten sollte:
Eine detaillierte Beschreibung der Sicherheitslücke und ihrer möglichen Auswirkungen.
Schritte zur Nachstellung des Problems.
Relevante Bildschirmaufnahmen oder Beweise.
Ihre Kontaktinformationen für Folgemaßnahmen.
Floin verpflichtet sich, keine rechtlichen Schritte gegen Forscher einzuleiten, die:
sich nach bestem Wissen und Gewissen bemühen, diese Richtlinie während ihrer Forschung einzuhalten.
Verletzungen der Privatsphäre, Beeinträchtigungen der Benutzerfreundlichkeit und Störungen der Produktionssysteme vermeiden.
Floin eine angemessene Zeitspanne zur Verfügung stellen, um das Problem zu lösen, bevor Floin es öffentlich bekannt gibt (wenn überhaupt, je nach Floins alleinigem Ermessen, abhängig von möglichen Sicherheitsgründen). In keinem Fall dürfen Sie eine Sicherheitslücke öffentlich bekanntgeben.
Nach Erhalt eines Berichts über eine Sicherheitslücke wird Floin:
1. Den Erhalt der Meldung innerhalb von drei (3) Werktagen bestätigen.
2. Ihren Bericht mit strenger Vertraulichkeit behandeln
3. Regelmäßige Updates über den Status der Schwachstelle zur Verfügung stellen,während sie bewertet und behoben wird,
4. Daran arbeiten, die Schwachstelle zeitnah zu beheben.
5. Die von Ihnen zur Verfügung gestellten personenbezogenen Daten (z. B. Ihre E-Mail-Adresse und Ihren Namen) in Übereinstimmung mit den geltenden Datenschutzgesetzen verarbeiten und Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben.
6. Ihren Namen als Entdecker des Problems zu veröffentlichen, wenn Sie dem in Ihrer ersten E-Mail zugestimmt haben, wenn und falls wir das Problem öffentlich bekannt machen.
Bei der Durchführung Ihrer Operationen ist es wichtig, dass Sie...
die von Ihnen entdeckte Schwachstelle oder das Problem nicht ausnutzen, indem Sie z. B. mehr Daten als nötig herunterladen, um die Schwachstelle zu demonstrieren, oder die Daten anderer Personen löschen oder ändern
verwenden Sie nur harmlose Nutzungen, um zu bestätigen, dass eine Sicherheitslücke vorhanden ist
Geben Sie keine Daten, die Sie während der Entdeckung heruntergeladen haben, an die Öffentlichkeit oder an andere Parteien weiter
Geben Sie die Sicherheitslücke oder das Problem erst dann der Öffentlichkeit oder anderen Parteien bekannt, wenn es behoben wurde und Sie eine schriftliche Bestätigung dafür von Floin erhalten haben
brechen Sie Ihre Tests ab, wenn Sie sensible Informationen entdecken (personenbezogene Daten, medizinische, finanzielle, geschützte Informationen oder Geschäftsgeheimnisse), benachrichtigen Sie uns unverzüglich und geben Sie die Daten nicht an Dritte weiter
Sie sollten niemals...
Malware (Viren, Würmer, Trojanische Pferde usw.) auf Systemem platzieren
Systeme mit Hilfe von Exploits kompromittieren, um vollständige oder teilweise Kontrolle zu erlangen
Daten aus dem System kopieren, ändern oder löschen
Änderungen im System vornehmen
sich wiederholt Zugang zum System verschaffen oder den Zugang mit anderen Parteien teilen
erlangten Zugänge für den Versuch, auf andere Systeme zuzugreifen, nutzen
die Zugriffsrechte anderer Benutzer ändern
automatisierte Scanning-Tools verwenden
einen so genannten „Brute-Force“-Angriff verwenden, um sich Zugang zu beliebigen Systemen zu verschaffen
Denial-of-Service-Angriffe oder Social Engineering (Phishing, Vishing, Spam usw.) nutzen
Angriffe auf die physische Sicherheit durchführen
Wir bitten Sie, alle im Rahmen Ihrer Recherchen gewonnenen Daten sicher zu löschen, sobald sie nicht mehr benötigt werden bzw. innerhalb von einem Monat nach Behebung der Schwachstelle, je nachdem, was zuerst eintritt.
Floin gewährleistet, dass alle Meldungen im Einklang mit den geltenden Gesetzen und Vorschriften behandelt werden. Forschern, die in gutem Glauben handeln, wird im Rahmen dieser Politik Schutz zugesichert.
Wenn Sie Fragen zu dieser Richtlinie oder zum Meldeverfahren haben, wenden Sie sich bitte an:
Floin Sicherheitsteam: [email protected]