Wir bei DevStorage nehmen Datenschutz und Sicherheit sehr ernst. Immerhin speichern unsere Kunden teilweise sensible Daten auf ihren Produkten, eine Veröffentlichung dieser Daten wollen wir unter allen Umständen vermeiden. Sicherheitslücken gibt es immer wieder und wir arbeiten ständig daran, diese zu schließen und zu beheben. Wir möchten Kunden & Hacker bitten, Bugs und Sicherheitslücken zu finden und uns diese zu melden, damit wir unseren Kunden eine sichere Umgebung bieten können. Wichtig ist nur, dass du dich an die Regeln hältst, die wir zu diesem Zweck aufgestellt haben.

Was wir tun, wenn ein Sicherheitsverstoß gemeldet wird

  • Wir werden keine rechtlichen Schritte gegen Nutzer einleiten, die diese Anweisungen befolgen, wenn Sicherheitslücken entdeckt werden.
  • Wir werden so schnell wie möglich auf Meldungen reagieren und nach der Meldung Maßnahmen ergreifen, um die Verbindung zu entfernen.
  • Nachdem die Sicherheitslücke behoben wurde, erklären wir in einem Artikel, wie es dazu kam und welche Maßnahmen wir ergriffen haben.
  • Basierend auf der Genauigkeit, Relevanz und dem Umfang des jeweiligen Problems belohnen wir den Reporter.

    Es liegt in unserem Ermessen, ob und wie wir den Melder belohnen.

Regeln

  • Verwende für die Tests nur Accounts und Server, die du persönlich besitzt. Die Tests dürfen niemals andere Nutzer beeinträchtigen.
  • Für Tests dürfen maximal ein weiteres, ersichtliches Test-Konto, erstellt werden.
  • Die Tests sollten auf Seiten und Dienste beschränkt sein, die direkt von DevStorage betrieben werden. Wir akzeptieren keine Meldungen über Dienste von Drittanbietern oder Dienste, die in DevStorage APIs integriert sind.
  • Führe keine Aktionen durch, die die Zuverlässigkeit und Integrität unserer Dienste und Daten verletzen könnten. Zu den schädlichen Aktionen, die im Rahmen des Programms nicht erlaubt sind, gehören Brute-Forcing, Denial of Service (DoS), Spamming, etc.
  • Verwende keine Scanner oder automatisierte Tools, um Sicherheitslücken zu erkennen.
  • Informationen über identifizierte Probleme sollten nicht offengelegt oder öffentlich geteilt werden, bis wir unsere Untersuchung abgeschlossen haben. Nach unserer Freigabe kannst du alle Informationen über die gefundenen Probleme dokumentieren und veröffentlichen.

Sicherheitsschwachstellen außerhalb des Untersuchungsbereichs

Wenn du Schwachstellen meldest, gib bitte (1) das Angriffsszenario/die Schwachstelle und (2) die Auswirkungen des Problems auf die Sicherheit an. Die folgenden Probleme sind normalerweise nicht Teil des Untersuchungsbereichs (Liste nicht vollständig):

  • Account/E-Mail Enumeration
  • Angriffe, die MITM oder physischen Zugriff auf das Gerät eines Benutzers erfordern
  • Bruteforce-Angriffe
  • Clickjacking
  • Content Spoofing und Text Injection
  • CSRF-Schwachstellen
  • Denial-of-Service-Angriffe
  • E-Mail SPF-, DKIM- und DMARC-Records
  • Invite enumeration
  • Fehlende HttpOnly/Secure Cookie-Flags
  • Offene CORS-Header
  • Öffentlich zugängliche Login-Panels
  • Berichte von Scannern und automatisierten Tools
  • Reports über die Subdomains .dvstrg.eu, .dvstrg.de *
  • Self-exploitation (wie token reuse und console scripting)
  • Social-Engineering- oder Phishing-Angriffe, die auf Benutzer, Teams oder Mitarbeiter abzielen

Wo kann ich einen Fehler melden?

Melde Fehler per E-Mail an bug[at]devstorage[dot]eu oder per TicketSystem im HostingPanel.

Hinweise

*Alle Dienste auf dieser Subdomain gehören den Kunden. Versuche, diese Dienste anzugreifen, können zu einer Strafanzeige durch den Produktinhaber führen.

Angriffe außerhalb des angegebenen Rahmens werden wir zur Strafanzeige bringen. Wenn du dir unsicher bist, frage bitte per Ticket oder E-Mail nach!