Bei EVBox hat die Sicherheit unserer Produkte und Dienstleistungen oberste Priorität. Trotz aller Anstrengungen, die wir unternehmen, um diese Sicherheit zu gewährleisten, können dennoch Schwachstellen bestehen.

Vorgehensweise

  • Senden Sie Ihre Erkenntnisse per E-Mail an security@evbox.com.
  • Nutzen Sie die entdeckte Schwachstelle oder das Problem nicht aus, z. B. indem Sie mehr Daten herunterladen als nötig, um die Schwachstelle zu demonstrieren, oder indem Sie Daten anderer Personen löschen oder verändern.
  • Veröffentlichen Sie das Problem nicht, bevor es behoben wurde.
  • Verwenden Sie keine Angriffe, die auf physischer Sicherheit, Social Engineering, Distributed-Denial-of-Service-Angriffen (DDoS), Spam oder Anwendungen Dritter basieren.
  • Stellen Sie ausreichende Informationen zur Verfügung, damit das Problem reproduziert werden kann, sodass wir es so schnell wie möglich beheben können. In der Regel genügen die IP-Adresse oder die URL des betroffenen Systems sowie eine Beschreibung der Schwachstelle, aber komplexe Lücken können eine zusätzliche Erklärung erfordern.
  • Fügen Sie einen Proof of Concept (Nachweis des Konzepts) bei. Ohne hinreichende Belege dafür, dass die Schwachstelle ausgenutzt werden kann, können wir Ihre Meldung nicht bearbeiten.

Unsere Zusagen

  • Wir werden auf Ihren Bericht innerhalb von drei (3) Arbeitstagen antworten, mit einer Einschätzung Ihres Berichts und einem voraussichtlichen Termin für die Behebung.
  • Wenn Sie die oben genannten Anweisungen befolgt haben, werden wir keine rechtlichen Schritte gegen Sie im Zusammenhang mit Ihrer Meldung einleiten.
  • Wir behandeln Ihren Bericht streng vertraulich und geben Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weiter.
  • Wir halten Sie über den Fortschritt der Problemlösung auf dem Laufenden.
  • In den öffentlichen Informationen über die gemeldete Schwachstelle nennen wir Ihren Namen als Entdecker (sofern Sie dies wünschen).
  • EVBox zahlt derzeit keine finanziellen Belohnungen für entdeckte Schwachstellen.

Wir bemühen uns, alle Probleme so schnell wie möglich zu beheben, und möchten eine aktive Rolle bei der Veröffentlichung der Informationen übernehmen, sobald das Problem gelöst ist.

Urheberrechtshinweis: Diese Richtlinie ist eine angepasste Version der Responsible Disclosure Policy von Floor Terra.