Richtlinie zur koordinierten Offenlegung von Sicherheitslücken (CVD)

Bei Coinmerce nehmen wir die Sicherheit unserer Systeme, Produkte und Dienstleistungen ernst. Wir schätzen die Beiträge von Sicherheitsforschern und der breiteren Sicherheits-Community, die uns dabei helfen, ein hohes Sicherheitsniveau aufrechtzuerhalten. Diese Richtlinie zur koordinierten Offenlegung von Sicherheitslücken (Coordinated Vulnerability Disclosure, CVD) beschreibt, wie wir mit Ihnen zusammenarbeiten möchten, um potenzielle Schwachstellen zu identifizieren und zu beheben. Wir setzen auf einen transparenten und kooperativen Ansatz bei der Meldung von Schwachstellen. Ziel dieser CVD-Richtlinie ist es sicherzustellen, dass Schwachstellen koordiniert identifiziert, gemeldet und behoben werden, um das Risiko für unsere Nutzer, Daten und Dienstleistungen zu minimieren.

Diese Richtlinie gilt für Schwachstellen, die in den folgenden von Coinmerce betriebenen/verwalteten Systemen, Produkten und Dienstleistungen gefunden werden: Im Geltungsbereich: http[s]://coinmerce.io Coinmerce-Brokerage-Plattform, Blog, Karriere-Website Außerhalb des Geltungsbereichs: Systeme oder Dienste, die von Drittanbietern gehostet werden (sofern sie nicht direkt unsere Systeme im Geltungsbereich betreffen und Sie die Genehmigung des Drittanbieters haben). Schwachstellen in Software von Drittanbietern, die wir nutzen, aber nicht besitzen (bitte melden Sie diese direkt dem Anbieter, auch wenn wir es zu schätzen wissen, wenn Sie uns informieren, falls dies unsere Systeme betrifft). Wenn Sie unsicher sind, ob ein System oder Produkt in den Geltungsbereich fällt, kontaktieren Sie uns bitte unter [email protected], bevor Sie mit der Recherche beginnen.

Wenn Sie glauben, eine Schwachstelle entdeckt zu haben, melden Sie diese bitte so schnell wie möglich bei uns, indem Sie: Wenn Sie glauben, eine Schwachstelle entdeckt zu haben, melden Sie diese bitte so schnell wie möglich bei uns, indem Sie: Ihre Erkenntnisse per E-Mail an [email protected] senden Verschlüsselung: Unseren PGP/GPG-Schlüssel finden Sie hier. Bitte verschlüsseln Sie Ihre Erkenntnisse, um zu verhindern, dass kritische Informationen in die falschen Hände geraten. Bitte fügen Sie bei der Meldung ausreichend Informationen bei, damit wir die Schwachstelle verstehen, reproduzieren und beheben können. Dazu gehören in der Regel: Eine klare Beschreibung der Schwachstelle, einschließlich der Art der Schwachstelle. Die betroffene(n) IP-Adresse(n), URL(s) oder die spezifische System-/Produktkomponente. Schritt-für-Schritt-Anweisungen zur Reproduktion der Schwachstelle. Einen Proof-of-Concept (z. B. Skripte, Screenshots oder Video, falls hilfreich). Geschätzte Auswirkungen der Schwachstelle. Ihre Kontaktdaten (sofern Sie nicht anonym bleiben möchten; die Angabe von Kontaktdaten hilft uns im Prozess und ermöglicht es uns, Ihnen auf Wunsch öffentliche Anerkennung zu geben).

Wir bitten Sie, bei der Recherche und Meldung von Sicherheitslücken verantwortungsvoll und in gutem Glauben zu handeln: Wir bitten Sie, bei der Recherche und Meldung von Sicherheitslücken verantwortungsvoll und in gutem Glauben zu handeln: Unverzüglich melden: Melden Sie die Sicherheitslücke so bald wie möglich nach der Entdeckung an die dafür vorgesehene E-Mail-Adresse (verschlüsselt), um das Risiko zu minimieren, dass andere sie finden und ausnutzen. Ausreichende Details bereitstellen: Teilen Sie genügend Informationen, damit wir das Problem verstehen und reproduzieren können. Keinen Schaden verursachen: Nutzen Sie die Sicherheitslücke nicht über das hinaus aus, was strikt notwendig ist, um ihre Existenz nachzuweisen; beachten Sie das Prinzip der Verhältnismäßigkeit. Laden Sie zum Beispiel keine Daten herunter, ändern, löschen oder exfiltrieren Sie keine Daten, die nicht Ihre eigenen sind. Wenn Sie Zugriff auf nicht öffentliche Daten erhalten, stellen Sie Ihre Aktivität ein und melden Sie dies umgehend. Dieses Prinzip der Verhältnismäßigkeit ist auch relevant, wenn die Sicherheitslücke selbst demonstriert wird. Wenn Sie beispielsweise auf das CRM zugreifen können, das unsere Website betreibt, reichen Screenshots der Admin-Oberfläche aus – Sie müssen die Website nicht verunstalten. Wenn Sie Zugriff auf eine Datenbank erlangen können, ist es in der Regel ausreichend, uns eine Liste der darin enthaltenen Tabellen zu zeigen, anstatt sie zu löschen. Stören Sie unsere Dienste oder Systeme nicht (z. B. keine DDoS-Angriffe). Nehmen Sie ohne vorherige Abstimmung mit uns keinen Kontakt zu unseren Kunden auf. Betreiben Sie kein Social Engineering und führen Sie keine Phishing- oder physischen Angriffe gegen unsere Mitarbeiter, Nutzer oder Infrastruktur durch. Verwenden Sie ohne vorherige Absprache mit uns keine automatisierten Vulnerability-Scanner, die große Traffic-Mengen erzeugen können. Vertraulichkeit wahren: Legen Sie die Sicherheitslücke gegenüber anderen nicht offen, bis wir eine angemessene Gelegenheit hatten, sie zu untersuchen und zu beheben, oder bis ein vereinbarter Offenlegungszeitplan erreicht wurde. Sie werden alle vertraulichen Informationen, die Sie möglicherweise durch Ihre Recherche über uns erhalten haben, löschen, sobald wir die Sicherheitslücke behoben haben. Gesetze einhalten: Halten Sie alle anwendbaren Gesetze und Vorschriften ein.

* Bestätigung: Wir bestätigen den Eingang Ihres Berichts, in der Regel innerhalb von 3 Werktagen. * Erste Bewertung & Zeitplan: Wir liefern eine erste Bewertung des Berichts sowie einen erwarteten Zeitplan für die Behebung, in der Regel innerhalb von 5 Werktagen. Dieser Zeitplan hängt von der Komplexität und Schwere der Schwachstelle ab. Bei Software-Schwachstellen streben wir im Allgemeinen eine Behebung innerhalb von etwa 60 Tagen an; bei Hardware kann dies länger dauern. Wir werden etwaige wesentliche Abweichungen von diesem Zeitplan kommunizieren. * Vertraulichkeit: Wir behandeln Ihren Bericht streng vertraulich. Ihre persönlichen Daten werden ohne Ihre ausdrückliche Zustimmung nicht an Dritte weitergegeben, sofern dies nicht gesetzlich vorgeschrieben ist. * Regelmäßige Updates: Wir halten Sie über unsere Fortschritte bei der Behebung der Schwachstelle auf dem Laufenden. * Rechtliche Schritte: Wenn Sie Ihre Schwachstellenrecherche und -meldung in gutem Glauben und gemäß dieser Richtlinie durchführen, verpflichtet sich Coinmerce, keine rechtlichen Schritte gegen Sie im Zusammenhang mit der Erstellung Ihres Berichts und dessen Weitergabe (ausschließlich) an Coinmerce einzuleiten. Wir betrachten Aktivitäten, die diese Richtlinie vollständig einhalten, als „autorisierte" Handlungen im im Einleitung genannten Umfang. * Öffentliche Anerkennung (mit Ihrer Zustimmung): * * Nachdem die Schwachstelle behoben wurde, erwähnen wir Ihren Beitrag gerne öffentlich, sofern Sie nicht anonym bleiben möchten. Dies kann die Nennung Ihres Namens oder Alias auf unserer Website, in einer „Hall of Fame" oder in Release Notes umfassen. * Als Zeichen unserer Wertschätzung können wir Ihnen für Meldungen bestimmter neuer (uns unbekannter), erheblicher Schwachstellen eine Belohnung anbieten (z. B. Merchandise, einen Geschenkgutschein oder eine monetäre Prämie). Art und Höhe der Belohnung werden anhand der Schwere, der Auswirkungen und der Qualität des Berichts festgelegt. * * * Koordinierte Offenlegung: Wir arbeiten mit Ihnen zusammen, um die öffentliche Offenlegung der Schwachstelle zu koordinieren, nachdem sie behoben wurde. Wir bevorzugen es, die breitere IT-Community und die Krypto-Community zu informieren, wenn die Schwachstelle möglicherweise auch anderswo vorhanden ist.

Klare und zeitnahe Kommunikation ist für einen erfolgreichen CVD-Prozess unerlässlich. * Während des Prozesses: Wir werden uns bemühen, eine offene Kommunikation aufrechtzuerhalten, indem wir Updates zu unserem Fortschritt bereitstellen und bei Bedarf um Klarstellung bitten. Wir erwarten auch, dass Sie zeitnah auf unsere Anfragen reagieren. * Updates: Diese CVD-Richtlinie kann von Zeit zu Zeit aktualisiert werden. Wir geben die Version und das Datum der letzten Aktualisierung oben in dieser Richtlinie an. Wir empfehlen Ihnen, sie regelmäßig zu überprüfen.

Wenn Sie Fragen zu dieser Richtlinie oder zum CVD-Prozess haben, kontaktieren Sie uns bitte unter [email protected].