Bug-Bounty-Programm

FlowHunt setzt alles daran, seinen Service für alle sicher zu halten, und der Schutz von Daten hat höchste Priorität. Wenn du Sicherheitsforscher bist und eine Schwachstelle im Service entdeckt hast, danken wir dir für deine Hilfe, diese vertraulich an uns zu melden und uns die Gelegenheit zu geben, sie zu beheben, bevor technische Details veröffentlicht werden.

FlowHunt arbeitet mit Sicherheitsforschern zusammen, wenn Schwachstellen wie hier beschrieben gemeldet werden. Wir validieren, reagieren und beheben Schwachstellen, um unser Engagement für Sicherheit und Datenschutz zu unterstützen. Wir ergreifen keine rechtlichen Schritte gegen, sperren nicht und entziehen auch nicht den Zugang zum Service für diejenigen, die Sicherheitslücken verantwortungsvoll entdecken und melden. FlowHunt behält sich im Falle von Verstößen alle rechtlichen Schritte vor.

Teilnahmeberechtigung

Um an unserem Bug-Bounty-Programm teilnehmen zu können, musst du:

• Mindestens 18 Jahre alt sein
• Kein aktueller oder ehemaliger FlowHunt-Mitarbeiter, Auftragnehmer oder unmittelbares Familienmitglied sein
• Nicht den US-Sanktionen unterliegen oder in einem von den USA embargoisierten Land leben
• Alle geltenden Gesetze und Vorschriften einhalten
• Verantwortungsvolle Offenlegungspraktiken befolgen

Meldung

Teile Details zu vermuteten Schwachstellen dem FlowHunt Security Team unter support@flowhunt.io mit. Bitte veröffentliche diese Details nicht ohne ausdrückliche Genehmigung außerhalb dieses Prozesses.

Anforderungen an die Berichtqualität

Dein Schwachstellenbericht sollte enthalten:

• Zusammenfassung: Kurze Beschreibung der Schwachstelle
• Auswirkungen: Mögliche Sicherheitsauswirkungen und Geschäftsrisiko
• Schritte zur Reproduktion: Detaillierte Schritt-für-Schritt-Anleitung
• Proof of Concept: Nachweis, der die Schwachstelle demonstriert
• Betroffene Assets: Konkrete URLs, Parameter oder Komponenten
• Schweregradbewertung: Deine Einschätzung des Schweregrads
• Vorschläge zur Behebung: Empfohlene Korrekturen (optional)

Wenn du mehrere Schwachstellen auf einmal melden möchtest, reiche bitte nur einen Bericht ein (wenn möglich den wichtigsten) und warte auf eine Antwort.

Antwortzeiten

• Bestätigung: Innerhalb von 5 Werktagen nach Eingang des Berichts
• Erste Bewertung: Innerhalb von 10 Werktagen
• Ziel zur Behebung: Innerhalb von 90 Tagen bei gültigen Schwachstellen
• Updates: Regelmäßige Statusupdates während des Prozesses

Vergütung

Wir freuen uns, eine Prämie für Schwachstelleninformationen anzubieten, die uns helfen, unsere Kunden zu schützen – als Dank an die Sicherheitsforscher, die sich für die Teilnahme an unserem Bug-Bounty-Programm entscheiden.

Schweregrad-Einstufung

Kritische Schwere (100 $):

• Remote Code Execution
• SQL-Injection mit Datenzugriff
• Authentifizierungsumgehung mit Auswirkungen auf mehrere Nutzer
• Rechteausweitung auf Admin-Ebene
• Komplette Kontoübernahme

Mittlere Schwere (50 $):

• Cross-Site Scripting (XSS) mit erheblichem Einfluss
• Zugriffskontrollumgehung mit begrenztem Datenzugriff
• Directory Traversal mit Dateizugriff
• Schwachstellen im Sitzungsmanagement
• Fehlerhafte Authentifizierung bei einzelnen Nutzern

Geringe Schwere (Nicht auszahlungsberechtigt):

• Geringfügige Informationsoffenlegung
• Self-XSS ohne realistischen Angriffsvektor
• Probleme mit Rate Limiting
• Fehlende Sicherheits-Header ohne ausnutzbare Auswirkungen

Zahlungsbedingungen

• Prämien werden ausschließlich per PayPal ausgezahlt
• Bug-Bounty-Hunter müssen eine PayPal-Rechnung erstellen und senden
• Andere Zahlungsmethoden sind nicht verfügbar
• Auszahlung innerhalb von 30 Tagen nach Rechnungseingang
• Alle Zahlungen unterliegen den jeweils geltenden Steuervorschriften

Wir belohnen ausschließlich den Erstmelder einer Schwachstelle. Doppelte Berichte werden nicht belohnt.

Umfang

Im Umfang

Du darfst ausschließlich Konten von FlowHunt testen, für die du selbst Kontoinhaber bist oder als berechtigter Agent des Kontoinhabers autorisiert wurdest, solche Tests durchzuführen. Beispiel: deinedomain.flowhunt.io

Berechtigte Assets:

• *.flowhunt.io Domains und Subdomains
• FlowHunt Webanwendungen und APIs
• FlowHunt Mobile-Apps (falls zutreffend)

Berechtigte Schwachstellentypen:

• Remote Command Execution (RCE)
• SQL-Injektion
• Fehlerhafte Authentifizierung
• Fehlerhaftes Sitzungsmanagement
• Zugriffskontrollumgehung
• Cross-Site Scripting (XSS)
• Open URL Redirect
• Directory Traversal
• Server-Side Request Forgery (SSRF)
• Geschäftslogik-Fehler

Außerhalb des Umfangs

Verbotene Aktivitäten:

• Social Engineering-Angriffe (Phishing, Vishing usw.)
• Physische Angriffe oder physischer Zutritt zu FlowHunt-Einrichtungen
• Denial-of-Service (DoS) oder Distributed Denial-of-Service (DDoS)-Angriffe
• Spam, Massenkommunikation oder automatisierte Tools gegen unsere Systeme
• Netzwerkebene-Angriffe oder Infrastruktur-Scanning
• Angriffe, die physischen Zugriff auf Nutzergeräte erfordern
• Brute-Force-Angriffe oder Passwort-Cracking
• Tests an Konten, die du nicht besitzt oder für die dir keine ausdrückliche Genehmigung vorliegt

Nicht berechtigte Funde:

• Berichte, bei denen ein Angreifer nur das eigene Konto bedrohen kann
• XSS, verursacht durch einen Admin oder privilegierten Nutzer
• Schwachstellen, die unwahrscheinliche Nutzerinteraktion erfordern
• Probleme, bei denen der Nutzer schädliche Software installieren muss
• Theoretische Schwachstellen ohne klaren Ausnutzungsweg
• Content-Spoofing ohne Sicherheitsrelevanz
• Fehlendes Rate Limiting ohne nachweisbare Auswirkungen
• Probleme, die nur veraltete Browser oder Plattformen betreffen

Programmbestimmungen

Test-Richtlinien

• Teste nur auf Konten, die dir gehören oder für die du eine ausdrückliche Genehmigung hast
• Greife nicht auf Daten anderer Nutzer zu, modifiziere oder lösche diese nicht
• Störe unseren Service oder verringere die Performance nicht
• Begrenze automatisierte Tests, um Serviceunterbrechungen zu vermeiden
• Veröffentliche Schwachstellen nicht, bevor sie behoben wurden
• Unternimm alle Anstrengungen, um Datenschutzverstöße und Datenverlust zu vermeiden

Safe Harbor & Rechtsschutz

FlowHunt verpflichtet sich:

• Keine rechtlichen Schritte gegen Forscher einzuleiten, die diese Richtlinie einhalten
• Mit Forschern zusammenzuarbeiten, um Sicherheitsprobleme zu verstehen und zu validieren
• Gültige Beiträge zu unserer Sicherheit anzuerkennen
• Vertraulichkeit zu wahren und die Identität der Forscher nicht ohne Erlaubnis weiterzugeben

Forscher müssen:

• Alle geltenden Gesetze und Vorschriften einhalten
• Nur auf Daten zugreifen, die zur Demonstration der Schwachstelle erforderlich sind
• Schwachstellen umgehend und in gutem Glauben melden
• Schwachstellen nicht über das zur Demonstration notwendige Maß hinaus ausnutzen

Offenlegungszeitplan

• Sofort: Meldung an support@flowhunt.io
• 90 Tage: Standard-Offenlegungsfrist nach dem ersten Bericht
• Koordiniert: Öffentliche Offenlegung nur nach gegenseitiger Absprache
• Notfall: Kritische Schwachstellen können beschleunigte Fristen haben

Forscher dürfen Schwachstellen 90 Tage nach der ersten Meldung oder nachdem FlowHunt die Behebung bestätigt hat, öffentlich machen – je nachdem, was zuerst eintritt. Wir befürworten eine koordinierte Offenlegung und arbeiten mit den Forschern an einem angemessenen Zeitpunkt.