Vielen Dank für Ihre Teilnahme an unserem Responsible-Disclosure-Programm zur Offenlegung von Sicherheitslücken.
Die Sicherheit unserer Systeme hat für Catawiki oberste Priorität. Bei der Entwicklung und Bereitstellung unserer Dienstleistungen spielt die Sicherheit eine zentrale Rolle.
Nachfolgend finden Sie unsere Richtlinien für das Einreichen qualitativ hochwertiger Fehlerberichte an Catawiki, die uns eine effektive Fehlerbehebung ermöglichen.
Zu den Assets, die wir kontrollieren, gehören neben https://www.catawiki.com auch Seiten, die durch das Einloggen in den https://www.catawiki.com-Marktplatz zugänglich sind. Hierbei sind KEINE Anwendungen von Drittanbietern eingeschlossen, die wir nutzen, aber nicht direkt kontrollieren. Dazu gehören zum Beispiel alle Blogging-, Karriere- oder Marketing-Websites, die nicht mit der Catawiki-Domain gehostet werden, sowie jegliche Sicherheitslücken bei der Google Cloud Platform (GCP) oder anderen Cloud-Plattformen.
Was wir von Ihnen erwarten
- Senden Sie uns Berichte über Sicherheitslücken mit CVE-Scores (sofern vorhanden) zu, die auf unsere Website anwendbar sind, und erläutern Sie, inwiefern diese ein Sicherheitsrisiko darstellen können.
- Fügen Sie jedem Bericht, den Sie uns zusenden, nach Möglichkeit Videos und Fotos hinzu – diese sind sehr willkommen!
- Senden Sie uns Beispiele, wie schädliche Dateien innerhalb unserer Plattform hochgeladen werden können.
- Senden Sie uns Berichte über anfällige Netzwerkports oder -dienste.
- Senden Sie uns Berichte über Sicherheitslücken, bei denen die Validierung (CSRF oder anderweitig) fehlschlägt, und somit eine Umgehung von Sicherheitskontrollen ermöglicht wird.
Was Sie nicht tun sollten
- Bitte senden Sie uns keine Berichte zu Sicherheitslücken, die von Drittanbieter-Tools oder Scannern gemeldet wurden, ohne einen Proof of Concept (PoC) für ein resultierendes Sicherheitsrisiko.
- Bitte senden Sie uns keine Berichte zu Passwort-Sicherheitslücken durch Brute-Force-Angriffe, Wörterbuchangriffe oder anderweitiges Erraten von Passwörtern.
- Bitte unternehmen Sie keine DDoS- oder andere ressourcenintensive Angriffe.
- Bitte unternehmen Sie keine Spam-Angriffe, es sei denn, eine Sicherheitslücke beinhaltet das einfache Versenden von Spam.
- Bitte senden Sie uns keine Berichte zu Sicherheitslücken in Zusammenhang mit der Kontoverifizierung oder der Kennwortrichtlinie.
- Bitte senden Sie uns keine Berichte zu Sicherheitslücken in Zusammenhang mit Self-XSS-Angriffen.
- Bitte senden Sie uns keine Berichte über Schwachstellen, die mit einem fehlenden CAA-Eintrag (Certificate Authority Authorization) für einen Domainnamen von Catawiki verbunden sind.
Falls Sie unseren oben ausgeführten Verhaltenskodex nicht befolgen, behält sich Catawiki das Recht vor, rechtliche Schritte gegen Sie einzuleiten. Dieser Verhaltenskodex für die Meldung von Sicherheitslücken auf Catawiki unterliegt niederländischem Recht.
Des Weiteren ersuchen wir Sie, BugCrowd nicht für Fragen oder Beschwerden über die Dienstleistungen von Catawiki oder Benutzerinhalte auf unserer Plattform zu nutzen. Bei Fragen oder Beschwerden, die nichts mit den Sicherheitslücken unserer Systeme zu tun haben, bitten wir Sie, sich zunächst in unserem Hilfe-Bereich zu informieren und bei Bedarf Kontakt mit unserem Kundenservice aufzunehmen.
Um an unserem Responsible-Disclosure-Programm teilzunehmen, erstellen Sie ein neues Hacker-Konto auf BugCrowd oder loggen Sie sich in ein bestehendes Konto auf BugCrowd ein.
Datenschutz
Das Responsible-Disclosure-Programm unterliegt dem Datenschutzhinweis von Catawiki. Bitte beachten Sie jedoch, dass für die von Ihnen erstellten Berichte nur personenbezogene Daten in begrenztem Umfang verarbeitet werden. Catawiki nutzt BugCrowd, um das Melden von Sicherheitslücken zu unterstützen, und Sie können dies mit Ihren BugCrowd-Anmeldedaten tun. Wenn Sie ein Konto haben, kann Catawiki Ihren Benutzernamen, aber keine anderen personenbezogenen Daten, die mit Ihrem Konto verknüpft sind, sehen. Alle Daten, die in einem Bericht über Sicherheitslücken enthalten sind, werden in unserem internen Ticketing-System verarbeitet und sind für unser Sicherheitsteam und andere zuständige technische Mitarbeiter zugänglich.