Matomo Icon

Bug Bounty

internex Bug Bounty Programm.

Die internex GmbH legt als Enterprise- & Business- Internet Service Provider im Sinne all ihrer Kunden und selbstverständlich im eigenen Interesse großen Wert auf Sicherheit. Dies betrifft sowohl die Infrastruktur in unseren Rechenzentren als auch jede, für verschiedenste Einsatzgebiete, entwickelte und eingesetzte Software.

Als selbstkritisches und immer nach Verbesserung in all unseren Tätigkeitsbereichen strebendes Unternehmen, ist uns bewusst, dass trotz größter Sorgfalt und mehrstufiger Abnahme- und Testingverfahren Sicherheitslücken unentdeckt bleiben können. Obwohl wir unsere Prozesse kontinuierlich auditieren lassen, wenden wir uns zusätzlich mit einem Angebot zur Zusammenarbeit an Sicherheitsexperten.

Um den Sicherheitslevel der von uns eingesetzten Software durch eine dritte, unabhängige Säule zu stützen und weiter anzuheben haben wir uns zur Auflage des internex Bug Bounty Programms entschlossen.
Konkret bedeutet dies, dass wir Sie für die Einmeldung von Sicherheitslücken im beschriebenen Geltungsbereich belohnen, sofern diese Einmeldung den angeführten Teilnahmebedingungen und Verhaltensregeln entspricht und von internex als relevanter Hinweis klassifiziert wird.
Wenn Sie der Meinung sind, dass Sie ein Sicherheitsproblem in den in unserem Geltungsbereich aufgeführten Diensten gefunden haben, werden wir mit Ihnen zusammenarbeiten, um das identifizierte Problem schnellstmöglich zu beheben und sicherzustellen, dass Sie für Ihre Entdeckung angemessen belohnt werden.


 

Wohin wende ich mich?

Senden Sie Ihre ergebnisorientierten Beiträge oder Entdeckungen, unter Berücksichtigung des angeführten Geltungsbereiches sowie der Teilnahmebedingungen und Verhaltensregeln, bitte per E-Mail an: [email protected]


 

Geltungsbereich, Teilnahmebedingungen und Verhaltensregeln

Wir schätzen es sehr, wenn Sie als Sicherheitsexperte Ihre Expertise einbringen um sich mit unseren Systemen zu befassen und zur Verbesserung dieser beitragen möchten.

Der Geltungsbereich des Bug Bounty Programms bezieht sich aktuell ganz konkret auf folgende Systeme:
Das unter my.internex.at bzw terminal.internex.com erreichbare Controlpanel, unsere Produktplattformen (wie Webhosting oder Mail) sowie unsere Webdienste: Webseite (www.internex.at) und Webmail (webmail.internex.at).

Sicherheitsfehler, die außerhalb des Geltungsbereichs liegen, sind derzeit nicht für finanzielle Belohnungen berechtigt und werden als verantwortungsvolle Offenlegung behandelt.

Die internex GmbH gewährt berechtigten Meldern von festgestellten Schwachstellen Belohnungen, die jeweils vergebenen Prämienbeträge variieren nach potentiellem Impact der gemeldeten Schwachstelle.

Die internex GmbH behält sich das Recht vor, zu entscheiden, ob die Mindestschwere einer Schwachstelle erreicht wird und ob der Umfang des gemeldeten Fehlers bereits durch zuvor gemeldete Schwachstelle abgedeckt ist.

Prämien werden ausschließlich nach Ermessen der internex GmbH gewährt. Um sich für eine Prämie im Rahmen dieses Programms zu qualifizieren, müssen Sie alle der unten aufgeführten Kriterien erfüllen.
Wir arbeiten gerne mit allen zusammen, die gültige Berichte einreichen, die uns helfen, die Sicherheit der internex GmbH zu verbessern. Allerdings können nur diejenigen, die die folgenden Teilnahmebedingungen erfüllen, eine Prämie erhalten:

a) Um zur Teilnahme am internex Bug Bounty Programm zugelassen zu werden, müssen Sie mindestens 18 Jahre alt sein oder eine Teilnahmeerlaubnis eines Erziehungsberechtigen oder Ihres gesetzlichen Vormundes einholen.

b) Sie müssen die erste Person sein, die ein unbekanntes Problem meldet.

c) Eine gefundene Schwachstelle muss spätestens 24 Stunden nach ihrer Entdeckung gemeldet werden.

d) Eine Eingabe muss in jedem Fall die Art des Problems, den davon betroffenen Service, eine schrittweise Anleitung zur Reproduktion des Problems sowie die festgestellte Auswirkung des Problems enthalten.

e) Die Schwachstelle und Details zur Schwachstelle dürfen an keiner anderen Stelle offengelegt werden.

f) Bei Tests muss vermieden werden, dass es durch diese zu einer Verschlechterung oder Unterbrechung unserer Dienste kommt.

g) Sollten Sie während Ihrer Recherchetätigkeit auf Kundendaten stoßen, stellen Sie Ihre Untersuchungen unverzüglich ein und kontaktieren Sie uns unter [email protected].

h) Es dürfen keine Benutzerdaten preisgegeben, manipuliert oder zerstört werden.

i) Tests dürfen nur gegen Konten durchgeführt werden, deren Inhaber Sie selbst sind.

j) Die von uns angebotenen Services & Leistungen werden auf einem Produktivumfeld erbracht, welches von unseren Kunden aktiv und 24/7 genutzt wird und welches deren Geschäftssystem stützt oder zur Gänze abbildet. Alle Aktionen die zu einer Beeinträchtigung dieses Produktivsystems führen und dessen Verfügbarkeit einschränken oder beeinträchtigen sind unzulässig.

k) Automatisierte Tools oder Skripttests sind nicht gestattet, diese werden ohnehin regelmäßig von internen und externen Sicherheitsexperten in unserem Auftrag durchgeführt.

l) Personen mit einem aufrechten oder beendeten Dienstverhältnis zur internex GmbH oder verbundenen Unternehmen sind von der Teilnahme ausgeschlossen.

m) Die gemeldete Sicherheitslücke muss ohne Zugriff auf das interne internex Unternehmensnetzwerk ausgenutzt und missbraucht werden können.

n) Senden Sie uns eine möglichst detaillierte und klare Beschreibung des gefundenen Bugs/der entdeckten Sicherheitslücke, in Verbindung mit zur Reproduktion der Schwachstelle durchzuführenden Schritten und ergänzen Sie dies bei Bedarf um Anhänge, wie Screenshots oder Proof-of-Concept-Code.

o) Generell bitten wir Sie sich an geltendes Recht und Gesetze zu halten und keine Aktivitäten zu setzen oder zu unterstützen die die Rechte Dritter gefährden oder missachten.

p) Versenden Sie den Schwachstellenbericht ausschließlich per E-Mail an: [email protected]

 

Schwachstellen/Findings bei Internex-Diensten, die Folgendes erfordern oder damit in Zusammenhang stehen, sind nicht für einen Fehlerbericht und eine Belohnung berechtigt und werden als nicht berechtigte Schwachstellen bezeichnet.

Solche nicht berechtigten Schwachstellen sind insbesondere:
- UX-Probleme ohne sicherheitsrelevante Auswirkungen
- Einsendungen zu defekten Links (einschließlich Hijacking von defekten Links)
- Jegliche Aktivitäten, die zu einer Unterbrechung unserer Dienste führen könnten (DoS)
- Ergebnisse aus automatisierten Tools ohne manuelle Bestätigung
- Probleme mit Rate-Limiting oder Brute-Force-Angriffen auf Nicht-Authentifizierungs-Endpunkten
- Schwachstellen in Software oder Anwendungen von Drittanbietern, die mit Internex-Diensten interagieren
- Angriffe im Zusammenhang mit E-Mail-Servern, E-Mail-Protokollen und E-Mail-Sicherheit (z. B. SPF, DMARC, DKIM oder E-Mail-Spam)
- Social Engineering und Identitätsdiebstahl
- Offenlegung von bekannten öffentlichen Dateien oder Verzeichnissen (z. B. robots.txt)
- Schwachstellen in Nicht-Internex-Diensten, die keine relevanten Auswirkungen auf einen Internex-Dienst haben
- Schwachstellen, die Internex nicht reproduzieren kann
- Schwachstellen in Open-Source-Bibliotheken
- Theoretische Schwachstellen ohne tatsächlichen Proof of Concept
- Clickjacking/UI-Redressing/TapJacking
- Fehlende HTTP-Sicherheitsheader, insbesondere (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), z. B.: Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP, Content-Security-Policy-Report-Only
- Fehlen von HSTS
- Fehlen von Secure/HTTPOnly-Flags
- SSL/TLS-Probleme, z. B.: SSL-Angriffe wie BEAST, BREACH, Renegotiation-Angriffe, SSL Forward Secrecy nicht aktiviert, schwache/unsichere SSL-Verschlüsselungssuiten
- Brute-Force-Probleme ohne klare Auswirkung
- Berichte über fehlende "Best Practices" oder andere Richtlinien, die kein Sicherheitsproblem darstellen
- "Self" XSS
- Benutzernamen/E-Mail-Aufzählung
- Unzureichende Sitzungsablaufzeiten
- Logout Cross-Site Request Forgery (Logout CSRF)
- Kürzlich (weniger als 30 Tage) offengelegte Zero-Day-Schwachstellen
- Probleme, die physischen Zugriff auf den Computer/das Gerät des Opfers erfordern
- Fehlen von reCAPTCHA/Rate-Limit
- Beschreibende Fehlermeldungen (z. B. Stack Traces, Anwendungs- oder Serverfehler)
- Tests auf schwache Passwörter
- E-Mail-Bombing/Flooding/Rate-Limiting
- Schwachstellen, die Internex nicht vernünftig beheben kann (z. B. Heartbleed-Bug oder Schwachstellen in Telekommunikationssystemen)
- Schwachstellen, die nicht verantwortungsbewusst untersucht wurden
- Schwachstellen, die nicht gründlich berichtet wurden
- Schwachstellen, die Internex bereits bekannt sind oder die zuerst von jemand anderem gemeldet wurden

Wir beabsichtigen, gemeldete Probleme so schnell wie möglich zu beantworten und zu lösen. Ein gemeldeter Request wird binnen 48 Stunden nach Einlagen von unserem Security Team überprüft und Sie erhalten eine garantierte Rückmeldung innerhalb von 10 Werktagen.
Beachten Sie bitte, dass das Posten von Details oder Gesprächen über den Bericht oder das Veröffentlichen von Details, die sich negativ auf das Programm und die Marke internex GmbH auswirken, zum sofortigen Ausschluss aus dem Programm führen. Sollten angeführte Regeln verletzt, also nicht eingehalten, werden kann dies ebenfalls zum Ausschluss aus dem Programm und damit zum Verlust des Anspruchs auf für Eingaben ausgelobte Prämien führen.

Sobald die internex GmbH entschieden hat, dass Ihre Eingabe unter Berücksichtigung der geltenden Programmregularien zu Auszahlung einer Prämie berechtigt, werden Sie von uns über die Höhe der Prämie verständigt und erhalten von uns alle für die Abwicklung der Auszahlung benötigten Unterlagen. Um Zahlungen auch tatsächlich abwickeln zu können, benötigen wir selbstverständlich Ihre persönlichen Daten, ohne diese ist eine Prämienzahlung nicht zulässig.
Selbstverständlich steht es Ihnen frei auf die Prämie zu verzichten.


 

Prämien

Die Einmeldung von und Unterstützung bei der Behebung von Sicherheitslücken wird je nach betroffenem Bereich, exakter Beschreibung der Fehlerstelle, Unterstützung und potentieller Auswirkung mit Prämien honoriert.
Die Höhe der Prämie variiert nach vorangestellten Kriterien und wird bis zu einem Maximalwert von:

Controlpanel (my.internex.at bzw terminal.internex.com): bis zu 10.000 EUR
Produktplattformen (etwa Webhosting oder Mail): bis zu 5.000 EUR
Webseite (www.internex.at): bis zu 3.000 EUR

ausgeschüttet.