Richtlinie zur verantwortungsvollen Offenlegung

Einleitung

Bei DFDS nehmen wir Sicherheit sehr ernst. Dieses Dokument beschreibt Sicherheitsverfahren und allgemeine Richtlinien für die Offenlegung von Sicherheitslücken und Schwachstellen. Wenn Sie erwägen, uns (der „Organisation“) eine Sicherheitslücke oder Schwachstelle zu melden, sollten Sie diese Richtlinie zur Offenlegung von Sicherheitslücken vollständig lesen, bevor Sie dies tun.

Wir wissen es zu schätzen, wenn Sie sich die Zeit nehmen und sich bemühen, Sicherheitslücken und Schwachstellen gemäß dieser Richtlinie zu melden. Bitte beachten Sie jedoch, dass wir keine finanziellen Belohnungen für die Meldung von Sicherheitslücken anbieten.

Meldung

Wenn Sie glauben, eine Sicherheitslücke oder Schwachstelle gefunden zu haben, melden Sie uns dies bitte unter der folgenden E-Mail-Adresse: security@dfds.com.

Geben Sie in Ihrer Meldung folgende Details an:

  • Die Website, das Git-Repository, die IP-Adresse oder die Seite, auf der die Schwachstelle beobachtet werden kann.

  • Eine kurze Beschreibung der Art der Schwachstelle (z. B. „XSS-Schwachstelle“).

  • Schritte zur Reproduktion der Offenlegung.

Bitte stellen Sie sicher, dass Ihre Versuche harmlos und nicht zerstörerisch sind oder als Proof of Concept dienen.

Diese Informationen helfen sicherzustellen, dass die Meldung schnell und genau bearbeitet werden kann.

Ablauf

Nachdem Sie Ihre Meldung eingereicht haben, werden wir innerhalb von fünf Werktagen antworten und uns bemühen, Ihre Meldung innerhalb von 15 Werktagen zu prüfen. Wir werden Sie über unsere Fortschritte auf dem Laufenden halten. Die Priorität für die Behebung wird anhand der Auswirkungen, des Schweregrads und der Komplexität der Ausnutzung bewertet. Sie können sich gerne nach dem Status erkundigen, aber bitte nicht öfter als einmal alle 14 Tage, damit sich unsere Teams auf die Behebung konzentrieren können.

Wir benachrichtigen Sie, wenn die gemeldete Schwachstelle behoben ist, und Sie könnten gebeten werden, zu bestätigen, dass die Schwachstelle durch die Lösung angemessen abgedeckt ist. Sobald Ihre Schwachstelle behoben ist, freuen wir uns über Anfragen zur Offenlegung Ihres Berichts. Wir sind bestrebt, die Leitlinien für betroffene Benutzer zu vereinheitlichen, daher bitten wir Sie, die öffentliche Freigabe weiterhin mit uns abzustimmen.

Orientierungshilfe:

Sie dürfen keinesfalls:

  • gegen geltende Gesetze oder Vorschriften zu verstoßen

  • auf unnötige, übermäßige oder erhebliche Datenmengen zugreifen

  • Daten in den Systemen oder Diensten der Organisation ändern

  • hochintensive invasive oder zerstörerische Scan-Tools verwenden, um Schwachstellen zu finden

  • eine Form von Denial-of-Service-Angriffen versuchen oder melden, z. B. die Überlastung eines Dienstes mit einer hohen Anzahl von Anfragen

  • die Dienste oder Systeme der Organisation stören.