Responsible Disclosure Prozess

Sollten Sie eine Schwachstelle in IT-Systemen und Webanwendungen von Hellmann entdecken, bitten wir Sie, uns darüber zu informieren. Wir werden dann umgehend Maßnahmen ergreifen, um die gefundene Schwachstelle so schnell wie möglich zu beheben.

Prozess

  1. Senden Sie Ihre Erkenntnisse zur Schwachstelle an datenschutz@hellmann.com. Unsere E-Mail-Server unterstützen eine Transportverschlüsselung, aber sie können Ihre Informationen auch zusätzlich per PGP verschlüsseln und/oder signieren.
  2. Stellen Sie uns hinreichend Informationen zur Verfügung, damit wir das Problem reproduzieren und analysieren können. Stellen Sie auch eine Kontaktmöglichkeit für Rückfragen bereit.
  3. Um die Kommunikation zwischen Ihnen und dem Cyber Security Team von Hellmann zu optimieren und eine effiziente Risikobehandlung zu ermöglichen, bitten wir Sie um Verwendung der hier bereitgestellten Vorlage, soweit dies sinnvoll möglich ist.
  4. Nutzen Sie die Schwachstelle nicht aus, indem Sie beispielsweise Daten herunterladen, verändern, löschen oder Code hochladen.
  5. Geben Sie Informationen über die Schwachstelle nicht an dritte Personen oder Institutionen weiter, außer dies wurde durch Hellmann freigegeben.
  6. Führen Sie keine Angriffe auf unsere IT-Systeme durch, die Infrastruktur und Personen kompromittieren, verändern oder manipulieren.
  7. Führen Sie keine Social-Engineering (z.B. Phishing), (Distributed) Denial of Service, Spam oder andere Angriffe auf Hellmann durch.

Kontakt aufnehmen

PGP-Schlüssel

Fingerabdruck des PGP-Schlüssels:

54DE 381D 2BB7 07D1 075C
9356 516C 2B22 C283 BC29

Vorlage Schwachstellenmeldung

Wenn Sie statt eine Sicherheitslücke zu melden einen internen Bericht über nicht konformes Verhalten erstellen wollen, so nutzen Sie bitte die Whistleblower Hotline.

Whistleblower Hotline

Qualifizierte Meldung von Schwachstellen

Jedes Design- oder Implementierungsproblem bei Hellmann kann gemeldet werden, so lange es reproduzierbar ist und die Vertraulichkeit, Integrität oder Verfügbarkeit von Systemen oder Daten beeinträchtigt.

Häufige Beispiele sind:

  • Cross Site Request Forgery (CSRF)
  • Cross Site Scripting (XSS)
  • Insecure Direct Object Reference
  • Remote Code Execution (RCE) – Injection Flaws
  • Unangemessene Fehlerbehandlung
  • Unbefugter Zugriff auf Eigenschaften oder Konten
  • Daten-/Informations-Leaks
  • Möglichkeit der Exfiltration von Daten / Informationen
  • Aktiv ausnutzbare Hintertüren (Backdoors)
  • Möglichkeit einer unautorisierten System-Nutzung
  • Fehlkonfigurationen

Die folgenden Schwachstellen fallen nicht in den Geltungsbereich des Responsible Disclosure Prozesses:

  • Angriffe, die einen physischen Zugriff auf das Gerät oder Netzwerk eines Benutzers erfordern
  • Formulare mit fehlenden Cross-Site-Request-Forgery (CSRF-Token) (Ausnahme: Die Kritikalität übersteigt im Common Vulnerability Scoring System (CVSS) die Stufe 5)
  • Fehlende Security Header, die nicht direkt zu einer ausnutzbaren Schwachstelle führen
  • Verwendung einer als anfällig oder öffentlich als gebrochen bekannten Bibliothek (ohne aktiven Nachweis der Ausnutzbarkeit)
  • Ausgaben von automatisierten Tools oder Scans ohne erklärende Dokumentation
  • Social Engineering gegen Personen oder Einrichtungen von Hellmann sowie deren Lieferanten und Kunden
  • Denial of Service Angriffe (DoS/DDoS Distributed Denial of Service)
  • Bots, SPAM, Massenregistrierung
  • Nichtbeachtung von Best Practices (z.B. Certificate Pinning, Security Header)
  • Verwendung von anfälligen und „schwachen“ Cipher-Suiten / Chiffren

Unser Versprechen

Wir ergreifen umgehend Maßnahmen zur Behebung der Schwachstelle. Sie erhalten von uns eine Rückmeldung zum Eingang Ihrer Meldung, darüber hinaus ebenso über die Validität der Schwachstelle und die Behebung des Problems während der Bearbeitung.

Handeln Sie gemäß den oben genannten Anweisungen von Hellmann, werden die Strafverfolgungsbehörden im Zusammenhang mit Ihren Erkenntnissen nicht informiert. Dies gilt nicht, wenn erkennbar kriminelle oder nachrichtendienstliche Absichten verfolgt werden. Im Zweifelsfall zögern Sie nicht, einen vertrauenswürdigen Mittler wie den Chaos Computer Club einzuschalten. Wir werden Ihren Bericht vertraulich behandeln und Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben. Wir werden Sie über den Eingang Ihrer Meldung informieren

Als Melder werden Sie nicht nach Alter, Ausbildung, Geschlecht und Herkunft oder gesellschaftlichem Rang beurteilt werden. Deshalb zeigen wir diesen Respekt auch öffentlich und erkennen diese Leistung an. Mit Ihrem Einverständnis werden wir in unseren Danksagungen die Art der geschlossenen Schwachstelle, das Datum der ersten Meldung sowie Ihren Namen (oder ein Pseudonym) und eine Kontaktadresse oder ein Social Media Profil nach Ihren Wünschen auflisten, um so eine gute Zusammenarbeit mit Hellmann auch öffentlich zum Ausdruck zu bringen.

Danksagungen

29. Juni 2022
Anonym
Fehlerhafte Container-Konfiguration, die Clickjacking begünstigt

07. September 2021
Mahad Ali (LinkedIn)
UI Redressing beim Hellmann Portal Login

19. Juli 2021
Anonym
Ausgabe von nicht öffentlichen Information in der Hellmann Sendungsverfolgung