Verantwortungsvolle Offenlegung

Für uns bei Taxi2airport.com ist die Sicherheit unserer Systeme eine oberste Priorität. Aber egal wie viel Aufwand wir in die Systemsicherheit stecken, es können immer noch Schwachstellen vorhanden sein.

Wenn Sie eine Schwachstelle entdecken, würden wir gerne davon erfahren, damit wir so schnell wie möglich Maßnahmen ergreifen können, um sie zu beheben. Wir möchten Sie bitten, uns dabei zu helfen, unsere Kunden und unsere Systeme besser zu schützen.

Bitte gehen Sie wie folgt vor:

  • Senden Sie einen Bericht vorzugsweise über eine verschlüsselte E-Mail (unseren öffentlichen PGP-Schlüssel finden Sie unter https://keybase.io/transferz) an security@transferz.com,
  • Nutzen Sie die von Ihnen entdeckte Schwachstelle oder das Problem nicht aus, indem Sie beispielsweise mehr Daten herunterladen, als zum Nachweis der Schwachstelle erforderlich sind, oder die Daten anderer Personen löschen oder ändern, 
  • Offenbaren Sie anderen Personen gegenüber das Problem nicht, bis es behoben wurde;
  • Verwenden Sie keine Angriffe auf physische Sicherheit, Social Engineering, Distributed Denial of Service, Spam oder Anwendungen Dritter und
  • Geben Sie ausreichend Informationen an, um das Problem zu reproduzieren, damit wir es so schnell wie möglich lösen können. In der Regel reichen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus, bei komplexen Schwachstellen können jedoch weitere Erläuterungen erforderlich sein.

Was wir versprechen:

  • Wir werden auf Ihren Bericht innerhalb von 10 Werktagen mit unserer Bewertung des Berichts und einem voraussichtlichen Lösungsdatum antworten.
  • Wenn Sie die obigen Anweisungen befolgt haben, werden wir in Bezug auf die Meldung keine rechtlichen Schritte gegen Sie einleiten,
  • Wir behandeln Ihre Meldung streng vertraulich und geben Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weiter,
  • Wir werden Sie über den Fortschritt bei der Lösung des Problems auf dem Laufenden halten,
  • In den öffentlichen Informationen zu dem gemeldeten Problem nennen wir Ihren Namen als Entdecker des Problems (sofern Sie nichts anderes wünschen) und
  • Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und möchten nach der Lösung des Problems eine aktive Rolle bei der endgültigen Veröffentlichung des Problems spielen.

Bitte beachten Sie: Derzeit bieten wir keine Geldprämien mehr für die Meldung von Sicherheitslücken an.

Dieser Text wurde von Floor Terra verfasst und unter einer Creative Commons Attribution 3.0 Unported-Lizenz veröffentlicht.