Responsible Disclosure Prozess
Sollten Sie eine Schwachstelle in IT-Systemen und Webanwendungen von Hellmann entdecken, bitten wir Sie, uns darüber zu informieren. Wir werden dann umgehend Maßnahmen ergreifen, um die gefundene Schwachstelle so schnell wie möglich zu beheben.
Prozess
Fingerabdruck des PGP-Schlüssels:
54DE 381D 2BB7 07D1 075C 9356 516C 2B22 C283 BC29
Wenn Sie statt eine Sicherheitslücke zu melden einen internen Bericht über nicht konformes Verhalten erstellen wollen, so nutzen Sie bitte die Whistleblower Hotline.
Qualifizierte Meldung von Schwachstellen
Jedes Design- oder Implementierungsproblem bei Hellmann kann gemeldet werden, so lange es reproduzierbar ist und die Vertraulichkeit, Integrität oder Verfügbarkeit von Systemen oder Daten beeinträchtigt.
Häufige Beispiele sind:
Die folgenden Schwachstellen fallen nicht in den Geltungsbereich des Responsible Disclosure Prozesses:
Unser Versprechen
Wir ergreifen umgehend Maßnahmen zur Behebung der Schwachstelle. Sie erhalten von uns eine Rückmeldung zum Eingang Ihrer Meldung, darüber hinaus ebenso über die Validität der Schwachstelle und die Behebung des Problems während der Bearbeitung.
Handeln Sie gemäß den oben genannten Anweisungen von Hellmann, werden die Strafverfolgungsbehörden im Zusammenhang mit Ihren Erkenntnissen nicht informiert. Dies gilt nicht, wenn erkennbar kriminelle oder nachrichtendienstliche Absichten verfolgt werden. Im Zweifelsfall zögern Sie nicht, einen vertrauenswürdigen Mittler wie den Chaos Computer Club einzuschalten. Wir werden Ihren Bericht vertraulich behandeln und Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben. Wir werden Sie über den Eingang Ihrer Meldung informieren
Als Melder werden Sie nicht nach Alter, Ausbildung, Geschlecht und Herkunft oder gesellschaftlichem Rang beurteilt werden. Deshalb zeigen wir diesen Respekt auch öffentlich und erkennen diese Leistung an. Mit Ihrem Einverständnis werden wir in unseren Danksagungen die Art der geschlossenen Schwachstelle, das Datum der ersten Meldung sowie Ihren Namen (oder ein Pseudonym) und eine Kontaktadresse oder ein Social Media Profil nach Ihren Wünschen auflisten, um so eine gute Zusammenarbeit mit Hellmann auch öffentlich zum Ausdruck zu bringen.
Danksagungen
29. Juni 2022
Anonym
Fehlerhafte Container-Konfiguration, die Clickjacking begünstigt
07. September 2021
Mahad Ali (LinkedIn)
UI Redressing beim Hellmann Portal Login
19. Juli 2021
Anonym
Ausgabe von nicht öffentlichen Information in der Hellmann Sendungsverfolgung