VWO Logo
Dashboard
DEMO ANFORDERN

Responsible Disclosure Policy

Wingify nimmt die Sicherheit seiner Systeme sehr ernst und schätzt die Sicherheits-Community. Eine verantwortungsvolle Offenlegung von Sicherheitslücken hilft Wingify, die Sicherheit und den Schutz der Privatsphäre seiner Nutzer zu gewährleisten.

Richtlinien

Wingify fordert alle Sicherheitsexperten auf, folgende Richtlinien zu beachten:

  • Bemühen Sie sich nach Kräften, Verletzungen der Privatsphäre, Beeinträchtigungen der Nutzererfahrung, Störungen von Produktionssystemen und die Löschung von Daten während Sicherheitstests zu vermeiden;
  • Führen Sie nur zulässige Tests durch (siehe unten);
  • Teilen Sie uns Informationen über Sicherheitsrisiken auf den angegebenen Kommunikationskanälen mit;
  • Behandeln Sie alle Informationen, die Sie in Zusammenhang mit dieser Richtlinie über Wingify, seine Kunden oder jegliche Nutzer, Mitarbeiter oder Vertreter erhalten oder sammeln (“vertrauliche Informationen”), streng vertraulich. Sie dürfen solche vertraulichen Informationen oder Details zu Schwachstellen nicht ohne vorherige schriftliche Genehmigung von Wingify verwenden, offenlegen, veröffentlichen oder verbreiten.

Befolgen Sie diese Richtlinien, wenn Sie Wingify ein Problem melden, dann verpflichtet sich Wingify dazu:

  • keine rechtlichen Schritte in Zusammenhang mit Ihrer Untersuchung einzuleiten oder zu unterstützen;
  • mit Ihnen zusammenzuarbeiten, um das Problem schnell zu verstehen und zu lösen (einschließlich einer ersten Bestätigung Ihres Berichts innerhalb von 72 Arbeitsstunden nach der Meldung);
  • Ihren Beitrag in unserer Hall of Fame für Sicherheitsexperten (derzeit im Aufbau) zu würdigen, wenn Sie das Problem als Erster melden und wir auf dieser Basis eine Code- oder Konfigurationsänderung vornehmen.

Anwendungsbereich

  • vwo.com
  • app.vwo.com

Unzulässig

Alle Dienste, die von Drittanbietern gehostet werden, sind ausgeschlossen.

Im Interesse der Sicherheit der Wingify-Nutzer, der Mitarbeiter, des Internets im Allgemeinen und Ihner eigenen als Sicherheitsexperte sind folgende Themen ausgeschlossen:

  • Verweigerung von Dienstleistungen
  • Spamming
  • Social Engineering (einschließlich Phishing) von VWO-Mitarbeitern oder Vertragspartnern
  • Jegliche physische Angriffe auf VWO-Eigentum oder -Rechenzentren
  • Content Spoofing / Text Injection
  • Self-XSS [ Bei Cross-Site-Scripting-Problemen muss es sich um gespeicherte, gespiegelte oder DOM-basierte XSS handeln]
  • Logout und andere Fälle von Cross-Site Request Forgery mit geringem Schweregrad
  • Offene Weiterleitungen mit geringen Auswirkungen auf die Sicherheit (Ausnahmen sind Fälle, in denen die Auswirkungen größer sind, wie z. B. der Diebstahl von Oauth-Tokens)
  • Fehlende HTTP-Security-Header
  • Fehlende Cookie-Flags für Cookies, die nicht-sensible Daten sammeln
  • Vorgaben zu Passwörtern und zur Wiederherstellung von Konten, z. B. Ablauf des Reset-Links oder Passwortkomplexität
  • Ungültige oder fehlende SPF (Sender Policy Framework)-Datensätze (Unvollständige oder fehlende SPF/DKIM)
  • Bewährte SSL/TLS-Verfahren
  • Clickjacking/UI-Redressing ohne Auswirkungen auf die Sicherheit
  • Nennungen von Benutzernamen / E-Mail-Adressen auf der Login-Seite oder Fehlermeldungen auf der Seite “Passwort vergessen”
    
    

Dinge, die Sie uns bitte nicht zusenden

  • Persönlich identifizierbare Informationen (PII)
  • Daten von Kreditkarteninhabern

Wie melde ich eine Sicherheitslücke?

Wenn Sie glauben, eine Schwachstelle in einem Produkt oder einer Plattform von Wingify gefunden zu haben, teilen Sie uns diese bitte per E-Mail an security@wingify.commit. Bitte fügen Sie Ihrem Bericht die folgenden Details hinzu:

  • Beschreibung, wo sich die Sicherheitslücke befindet und welche potenziellen Auswirkungen sie hat;
  • Eine detaillierte Beschreibung der Schritte, die erforderlich sind, um die Schwachstelle zu reproduzieren (POC-Skripte, Screenshots und komprimierte Bildschirmaufnahmen sind für uns hilfreich);
  • Ihren Namen/Ihr Pseudonym und einen Link für die Aufnahme in unsere Hall of Fame.

Wenn Sie die Informationen verschlüsseln möchten, verwenden Sie bitte unseren PGP-Schlüssel.

Hall of Fame

Bei Wingify würdigen wir in unserer Hall of Fame, Personen, die verantwortungsvoll eine oder mehrere Sicherheitslücken in unseren Produkten gemeldet und uns geholfen haben, unseren Kunden einen besseren Service zu bieten. Details finden Sie unter Security Hall of Fame