Richtlinie zur Offenlegung von Sicherheitslücken

Wir freuen uns über Feedback von Sicherheitsforschern und der Öffentlichkeit, um unsere Sicherheit zu verbessern. Wenn du glaubst, eine Sicherheitslücke, ein Datenschutzproblem, offengelegte Daten oder andere Sicherheitsprobleme in einem unserer Assets entdeckt zu haben, lass es uns wissen. Diese Richtlinie beschreibt die Schritte zur Meldung von Sicherheitslücken an uns.

In diesem Artikel:

Hinweis: Ecosia betreibt kein Bug-Bounty-Programm und bietet keine finanziellen Belohnungen an. Deine Beiträge unterstützen jedoch unsere Umweltmission, indem sie dafür sorgen, dass Ecosia für Millionen von Nutzern, die sich für die Suche und das Pflanzen von Bäumen entscheiden, sicher bleibt.

Betroffene Systeme

Diese Richtlinie gilt für alle digitalen Assets, die Ecosia GmbH gehören, von ihr betrieben oder gepflegt werden.

Asset Name Type Testbeschränkung Hinweise zur Meldung

com.ecosia.ecosiaapp

https://play.google.com/

store/apps/details?

id=com.ecosia.android&

pcampaignid =web_share

 Android App Kein automatisches Scannen

com.ecosia.ios

https://apps.apple.com/

app/ecosia/ id670881887

 iOS App Kein automatisches Scannen
https://www.ecosia.org/ Web Application
  • Keine Datenvernichtung
  • Automatisches Scannen
  • Brute-Force-Angriffe
 Unbeabsichtigten Zugriff sofort melden
https://blog.ecosia.org/ Web Application Kein automatisches Scannen Beschränkt auf öffentlich zugängliche Inhalte
*.ecosia.org Wildcard Kein automatisches Scannen Folge dem Standard für verantwortungsvolle Offenlegung
Ecosia API Endpoints API
  • Keine Datenvernichtung
  • Automatisches Scannen
  • Brute-Force-Angriffe
 Beispiele für API-Aufrufe in Berichten bereitstellen

Außerhalb des Geltungsbereichs

Die folgenden Assets und Bereiche fallen nicht in den Geltungsbereich dieses Programms:

  • Assets oder andere Geräte, die nicht Eigentum der an dieser Richtlinie beteiligten Parteien sind. Schwachstellen, die in nicht abgedeckten Systemen entdeckt oder vermutet werden, sollten dem entsprechenden Anbieter oder der zuständigen Behörde gemeldet werden.
  • Interne Entwicklungs- und Staging-Umgebungen (z. B. staging.ecosia.org , dev.ecosia.org ).
  • Anwendungen, Integrationen oder Dienste von Drittanbietern, die nicht Eigentum von Ecosia sind oder von Ecosia kontrolliert werden.
  • Denial-of-Service-Angriffe (DoS), automatisiertes Scannen oder Techniken zur Erschöpfung von Ressourcen.
  • Social-Engineering-Angriffe, einschließlich Phishing-Kampagnen, die auf Mitarbeiter von Ecosia abzielen.
  • Physische Sicherheitsbedenken wie Angriffe auf die Büros oder Arbeitsplätze von Ecosia-Mitarbeitern.

Legal Safe Harbor

Bei der Durchführung von Schwachstellenrecherchen gemäß dieser Richtlinie betrachten wir diese Recherchen als:

  • Autorisiert in Bezug auf alle geltenden Anti-Hacking-Gesetze, werden iwr keine rechtlichen Schritte gegen dich einleiten oder unterstützen, wenn du versehentlich und in gutem Glauben gegen diese Richtlinie verstößt.
  • Autorisiert in Bezug auf alle relevanten Gesetze zur Umgehung von Schutzmaßnahmen, werden wir keine Ansprüche gegen dich wegen Umgehung von technischen Kontrollen geltend machen.
  • Ausgenommen von Einschränkungen in unseren Nutzungsbedingungen (TOS) und/oder der Richtlinie zur akzeptablen Nutzung (AUP), die die Durchführung von Sicherheitsrecherchen beeinträchtigen würden, verzichten wir in begrenztem Umfang auf diese Einschränkungen.
  • Rechtmäßig, hilfreich für die allgemeine Sicherheit des Internets und in gutem Glauben durchgeführt.

Wenn rechtliche Schritte von einem Dritten gegen dich eingeleitet werden und du diese Richtlinie eingehalten hast, werden wir Maßnahmen ergreifen, um bekannt zu machen, dass deine Handlungen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.

Hinweis: Der Safe Harbor gilt nur für Rechtsansprüche, die der Kontrolle der an dieser Richtlinie teilnehmenden Organisation unterliegen, und ist für unabhängige Dritte nicht bindend.

Fristen und SLAs

Wir haben interne Prozesse eingerichtet, um die effektive Validierung, Einstufung und Behebung von Sicherheitslücken sicherzustellen. Ecosia wird sich nach besten Kräften bemühen, die folgenden Fristen einzuhalten:

  1. Bestätigung: Meldungen werden innerhalb von 72 Stunden bestätigt.
  2. Einstufung: Meldungen werden innerhalb von 7 Tagen auf ihre Gültigkeit geprüft und eingestuft.
  3. Behebung: Gültige Sicherheitslücken werden gemäß den unten definierten Patch-Fristen behoben.
  4. Kommunikation: Wir werden uns bemühen, dich während des gesamten Prozesses über unsere Fortschritte auf dem Laufenden zu halten.

Zeitpläne für Patches

Alle Sicherheitslücken werden nach einem risikobasierten Ansatz behoben, der eine interne Risiko- und Auswirkungsbewertung umfasst. Ecosia wird sich bemühen, die folgenden Zeitpläne einzuhalten:

  • Kritische Sicherheitslücken: Behebung innerhalb von 7–14 Werktagen.
  • Hohe Sicherheitslücken: Behebung innerhalb von 15–30 Werktagen.
  • Geringe und mittlere Sicherheitslücken: Behebung innerhalb von 90 Tagen und im nächsten geplanten Wartungszyklus.

Erwartungen an Forschende

Bei der Teilnahme an unserem Programm zur Offenlegung von Sicherheitslücken müssen Forscher Folgendes beachten:

  • Befolgt diese Richtlinie und alle geltenden Vereinbarungen (im Falle von Widersprüchen hat diese Richtlinie Vorrang).
  • Meldet entdeckte Sicherheitslücken umgehend.
  • Vermeidet Handlungen, die die Privatsphäre gefährden, Systeme stören, Daten zerstören oder die Benutzererfahrung beeinträchtigen.
  • Teilt Details zu Sicherheitslücken nur über offizielle Kanäle mit.
  • Nur Systeme im Umfang des Programms testen und Bereiche außerhalb des Umfangs vermeiden.
  • Wenn eine Schwachstelle Daten offenlegt, nur auf das erforderliche Minimum zugreifen, das Testen sofort beenden, wenn sensible Informationen (z. B. personenbezogene Daten, Gesundheitsdaten, Kreditkartendaten) gefunden werden, und diese melden.
  • Nur Testkonten verwenden, die dir gehören oder auf die du Zugriff hast.
  • Niemals Erpressung versuchen.

Qualität der Meldungen

Wir schätzen alle Meldungen, können jedoch möglicherweise nicht auf Meldungen reagieren, die:

  • nicht detailliert genug sind, um das Problem zu reproduzieren
  • auf Spekulationen oder nicht überprüfbaren Behauptungen beruhen
  • nur die Ergebnisse eines Massenscanners ohne Analyse enthalten
  • bekannte, akzeptierte oder bereits behobene Probleme beschreiben
  • außerhalb des Umfangs des Programms liegen

Wir geben klaren, umsetzbaren Meldungen, die unsere Sicherheit verbessern, Vorrang.

Offenlegungsrichtlinie

Wir bitten dich, uns eine angemessene Frist zur Behebung des Problems einzuräumen, bevor du es öffentlich machst. Das bedeutet:

  • Befolge die Offenlegungsrichtlinien von HackerOne.
  • Bitte sprich nicht ohne ausdrückliche Zustimmung von Ecosia außerhalb des Programms über Schwachstellen (auch nicht über behobene).

Eine Schwachstelle melden

Bitte benutze das Formular unten. Um Updates zu der gemeldeten Schwachstelle zu erhalten, gib bitte deine E-Mail-Adresse an.

Gib bitte so viele Details wie möglich an, damit wir das Problem besser bearbeiten und beheben können. Je mehr Infos du uns gibst, desto einfacher ist es für uns, die Sicherheitslücke zu überprüfen, zu bearbeiten und zu beheben.

Vielen Dank, dass du uns dabei hilfst, Ecosia und unsere Nutzer zu schützen und den Kampf gegen die Klimakrise zu unterstützen.

Kontakt Security Team

Wenn du uns zu anderen sicherheitsrelevanten Themen kontaktieren möchtest, nutze bitte unsere Sicherheits-E-Mail-Adresse: security@ecosia.org.

Konnte deine Frage beantwortet werden? Danke für das Feedback Es gab ein Problem bei der Eingabe deines Feedbacks