Programm zur Offenlegung von Sicherheitslücken

Sicherheit ist ein zentraler Bestandteil der Werte von JOIN, und wir schätzen die Beiträge von Sicherheitsforschern, die in gutem Glauben handeln, um uns dabei zu unterstützen, ein hohes Maß an Sicherheit und Datenschutz für unsere Nutzer zu gewährleisten. Dazu gehört die Förderung verantwortungsvoller Forschung und Offenlegung von Sicherheitslücken. Diese Richtlinie beschreibt, was wir im Zusammenhang mit der Entdeckung und Meldung von Sicherheitslücken unter gutem Glauben verstehen und was Sie im Gegenzug von uns erwarten können. Dieses Programm ist kein Prämienprogramm und bietet keine finanzielle Vergütung.

Erwartungen

Bei der Zusammenarbeit mit uns gemäß dieser Richtlinie können Sie erwarten, dass wir:

  • Ihnen Safe Harbor (rechtlichen Schutz) für sicherheitsrelevante Forschungsarbeiten im Rahmen dieser Richtlinie gewähren;
  • Mit Ihnen zusammenarbeiten, um Ihren Bericht zu verstehen und zu validieren, einschließlich einer zeitnahen ersten Rückmeldung;
  • Entdeckte Sicherheitslücken zeitnah beheben.

Offizielle Kanäle

Alle Sicherheitslücken, die als innerhalb des Geltungsbereichs angesehen werden, müssen an [email protected] gemeldet werden. Bitte halten Sie sämtliche Kommunikation zu gemeldeten Sicherheitslücken innerhalb desselben E-Mail-Threads.

Richtlinien

Um Sicherheitsforschung zu fördern und Missverständnisse zwischen legitimer Forschung und böswilligen Angriffen zu vermeiden, bitten wir Sie, nach bestem Wissen und Gewissen:

  • Die Regeln einzuhalten und diese Richtlinie sowie alle weiteren relevanten Vereinbarungen (z. B. Nutzungsbedingungen) zu befolgen;
  • Entdeckte Sicherheitslücken unverzüglich zu melden;
  • Die Privatsphäre anderer zu respektieren und keine Systeme zu stören, Daten zu zerstören oder die Nutzererfahrung zu beeinträchtigen;
  • Ausschließlich die offiziellen Kanäle zur Kommunikation über Sicherheitslücken zu nutzen;
  • Die Vertraulichkeit der Details entdeckter Sicherheitslücken gemäß dem Abschnitt Koordinierte Offenlegung zu wahren;
  • Tests ausschließlich an Systemen innerhalb des Geltungsbereichs durchzuführen und Systeme sowie Aktivitäten außerhalb des Geltungsbereichs zu respektieren;
  • Bei unbeabsichtigtem Zugriff auf Nutzerdaten (z. B. personenbezogene Daten) oder geschützte Informationen: die Tests sofort einzustellen und unverzüglich Bericht zu erstatten;
  • Nur mit eigenen Konten zu interagieren, es sei denn, es liegt eine ausdrückliche Genehmigung des Kontoinhabers vor;
  • Keine Erpressung zu betreiben;
  • Klar und präzise zu berichten – ein kurzer Proof-of-Concept-Link ist äußerst hilfreich;
  • Niemals nicht-technische Angriffe wie Social Engineering, Phishing oder physische Angriffe gegen unsere Mitarbeiter, Nutzer oder Infrastruktur durchzuführen;
  • Keine Daten von JOIN oder unseren Nutzern ohne ausdrückliche Genehmigung einzusehen, zu verändern, zu speichern, zu übertragen oder anderweitig darauf zuzugreifen.

Wir behalten uns vor, die Bedingungen dieses Programms jederzeit zu ändern oder zu beenden.

Safe Harbor

Bei Sicherheitsforschung gemäß dieser Richtlinie betrachten wir diese Forschung als:

  • Autorisiert im Sinne geltender Anti-Hacking-Gesetze, und wir werden keine rechtlichen Schritte wegen unbeabsichtigter Verstöße in gutem Glauben einleiten oder unterstützen;
  • Autorisiert im Sinne einschlägiger Gesetze zur Umgehung technischer Schutzmaßnahmen, und wir werden keine Ansprüche wegen der Umgehung technischer Kontrollen geltend machen;
  • In begrenztem Umfang von Einschränkungen unserer Richtlinie zur akzeptablen Nutzung ausgenommen, sofern diese die Sicherheitsforschung behindern würden;
  • Rechtmäßig, förderlich für die allgemeine Sicherheit des Internets und in gutem Glauben durchgeführt.

Sie sind weiterhin verpflichtet, alle geltenden Gesetze einzuhalten. Sollte ein Dritter rechtliche Schritte gegen Sie einleiten und Sie diese Richtlinie eingehalten haben, werden wir Maßnahmen ergreifen, um klarzustellen, dass Ihre Handlungen im Einklang mit dieser Richtlinie standen.

Wenn Sie zu irgendeinem Zeitpunkt unsicher sind, ob Ihre Sicherheitsforschung mit dieser Richtlinie vereinbar ist, kontaktieren Sie uns bitte vorab unter [email protected].

Im Geltungsbereich (In-Scope)

Dieses Programm gilt ausschließlich für Sicherheitslücken, die Systeme betreffen, die auf join.com gehostet werden.

Design- oder Implementierungsfehler, die die Vertraulichkeit oder Integrität von Nutzerdaten wesentlich beeinträchtigen, gelten in der Regel als im Geltungsbereich liegend. Beispiele hierfür sind:

  • Cross-Site Scripting (XSS).
  • Cross-Site Request Forgery (CSRF).
  • Mixed-Content-Skripte.
  • Authentifizierungs- oder Autorisierungsfehler.
  • Fehler bei der serverseitigen Codeausführung.
  • Umgehung unseres Berechtigungsmodells.
  • SQL-Injection.
  • XML External Entity (XXE)-Angriffe.

Diese Liste ist nicht abschließend. Jeder Bericht über eine mögliche Kompromittierung sensibler Nutzerdaten oder unserer Systeme ist von Interesse. Dazu zählen auch schwerwiegende Sicherheitslücken in Abhängigkeiten wie Open-Source-Bibliotheken, Software oder Drittanbieter-Komponenten, die aktiv in der Entwicklung unserer Produkte und Dienstleistungen verwendet werden.

Außerhalb des Geltungsbereichs (Out-of-Scope)

Die folgenden Punkte sind ausdrücklich vom Geltungsbereich dieses Programms ausgeschlossen:

  • Richtlinien zur Existenz oder Nichtexistenz von SPF/DMARC-Einträgen.
  • Passwort-, E-Mail- und Kontorichtlinien (z. B. E-Mail-Verifizierung, Ablauf von Reset-Links, Passwortkomplexität).
  • CSRF beim Abmelden.
  • Angriffe, die physischen Zugriff auf das Gerät eines Nutzers erfordern.
  • XSS auf anderen Websites als join.com.
  • Angriffe, die ein zusätzliches Exploitation-Tool über unserer Anwendung erfordern (z. B. Tapjacking).
  • Sicherheitslücken, die die Installation nicht standardmäßiger Software oder aktive Handlungen des Opfers voraussetzen.
  • Sicherheitslücken, die Nutzer veralteter Browser oder Plattformen betreffen.
  • Social Engineering gegen unsere Mitarbeiter oder Auftragnehmer.
  • Physische Angriffe auf unsere Gebäude oder Rechenzentren.
  • Vorhandensein des autocomplete-Attributs in Webformularen.
  • Fehlende Cookie-Flags bei nicht sensiblen Cookies.
  • Zugriff auf Daten, der ein gerootetes mobiles Gerät voraussetzt.

Die folgenden Punkte liegen ebenfalls außerhalb des Geltungsbereichs, es sei denn, es liegt ein Nachweis der Ausnutzbarkeit vor:

  • Verwendung einer als verwundbar bekannten Bibliothek.
  • Fehlende Best Practices.
  • Unsichere SSL/TLS-Verschlüsselung.
  • Fehlende Sicherheits-Header ohne direkten Exploit.
  • Fehlende CSRF-Tokens, außer bei nachgewiesenen sensiblen Nutzeraktionen.
  • Host-Header-Injection.
  • Berichte aus automatisierten Scans ohne manuelle Validierung.
  • Anzeige von Banner- oder Versionsinformationen, sofern keine verwundbare Version betroffen ist.

Koordinierte Offenlegung

Forscher dürfen Details zu Sicherheitslücken erst dann an Dritte weitergeben, nachdem die Sicherheitslücke behoben wurde und das Programm die Freigabe zur Offenlegung erteilt hat.

Die Recruiting-Software für alle, die Ihr Team vergrößern wollen.