Verantwortungsvolle Offenlegungspolitik

Bei eu4ua ist die Sicherheit der Daten von Flüchtlingen, Gastgebern und Freiwilligen unsere Priorität. Der Zweck dieser Seite (die "Responsible Disclosure Policy") ist es, Ihnen alle Informationen zur Verfügung zu stellen, die Sie benötigen, wenn Sie eine potenzielle Sicherheitslücke in einem unserer Produkte oder Dienste entdeckt haben.

Wir wissen die Hilfe unserer Gemeinschaft sehr zu schätzen und möchten sicherstellen, dass alle Angaben verantwortungsbewusst gemacht werden. Bitte stellen Sie sicher, dass Sie die nachstehenden Bedingungen einhalten:

Sie können Probleme an security@eu4ua.org senden und bitte folgende Informationen angeben:

  • betroffene URL oder IP-Adresse
  • eine Beschreibung des Problems, einschließlich einer Liste von Schritten, um das Problem zu reproduzieren
  • den Zeitraum, in dem Sie das Problem beobachten konnten

Da wir eine Vereinigung sind, beachten Sie bitte, dass wir kein Bug-Bounty-Programm anbieten. Das bedeutet, dass wir keine Belohnungen für aufgedeckte Sicherheitslücken zahlen.

SCOPE

Der Geltungsbereich umfasst alle Assets hinter eu4ua.org, mit Ausnahme derjenigen, die von Dritten stammen.

WAS WIR VON IHNEN VERLANGEN

  • Wenn Sie nach potenziellen Schwachstellen in unserem System suchen, stellen Sie bitte sicher, dass Sie die folgende Kopfzeile einrichten. Auf diese Weise können wir Ihre Tests von denen eines böswilligen Akteurs unterscheiden.
X-Bug-Hunter: <nickname>

  • Zögern Sie nicht, uns die IP-Adresse mitzuteilen, die Sie für Ihre Tests verwendet haben, wenn Sie Ihren Bericht senden.
  • Wenn Sie ein Problem entdecken, das personenbezogene Daten (PII) offenbart, müssen Sie sicherstellen, dass diese gelöscht werden, sobald Sie die Offenlegung vorgenommen haben.
  • Sie verletzen keine anderen geltenden Gesetze oder Vorschriften.

FAQs

Was sollte ich nicht melden?

  • Vorschläge zur Konfiguration von SPF (Sender Policy Framework), DKIM und DMARC
  • Offenlegung von bekannten öffentlichen Dateien oder Verzeichnissen (z. B. robots.txt)
  • Offenlegung von Bannern für gemeinsame/öffentliche Dienste
  • Phishing- oder Social-Engineering-Angriffe

Wann werde ich von Ihnen hören, nachdem ich eine Meldung gemacht habe?

Unser Team wird Ihnen eine Antwort schicken, um Ihnen mitzuteilen, dass wir Ihre Meldung erhalten haben, und wird sich mit Ihnen in Verbindung setzen, falls wir weitere Informationen benötigen.

Darf ich nach meiner Offenlegung etwas über die Sicherheitslücke veröffentlichen?

Nach Prüfung und Behebung des Problems durch unser Team senden wir Ihnen eine schriftliche Zustimmung zur Veröffentlichung des Problems.

Wir danken Ihnen für Ihre Unterstützung.