Bug Bounty Program - KNAPP AG

Für uns bei KNAPP hat die Sicherheit unserer Systeme höchste Priorität. Doch so sehr wir uns auch darum bemühen, können immer noch Schwachstellen vorhanden sein. Wenn Sie eine Schwachstelle entdecken, bitten wir Sie, uns dies mitzuteilen, damit wir sie so schnell wie möglich beheben können und den Schutz unserer Systeme und die unserer Kunden gewährleisten können.

Bounties basierend auf dem Risiko der Schwachstelle:

  • Niedrig: bis zu 100,00 €
  • Mittel: bis zu 250,00 €
  • Hoch: bis zu 500,00 €
  • Kritisch: bis zu 1.000,00 €

Scope des Programms:
Die folgenden KNAPP-Dienste und ihre Domänen, die von diesem Programm abgedeckt werden, sind:
knapp.com
*.knapp.com

Out of Scope:
Alle Domänen und Dienste, die nicht explizit oben aufgelistet sind, sowie die folgenden Angriffe gelten als Out-of-Scope, sie sind nicht teilnahmeberechtigt und nicht durch die untenstehende Safe-Harbor-Klausel abgedeckt:

  • Angriffe auf die physische Sicherheit von KNAPP
  • Social-Engineering
  • DoS/DDoS
  • Spam & Phishing
  • Verwendung automatisierter Tools wie Schwachstellenscanner
  • Verwendung von Tools zur Domain-Enumeration
  • Jegliche Aktivitäten, die über die Demonstration des Angriffsvektors hinausgehen, beispielsweise: privilege escalation nach erfolgreichem Zugriff auf einen Server.
  • Data-exfiltration, -modification oder -destruction

Safe Harbor für Sicherheitsforscher
Hacking-Aktivitäten, die diesen Regeln und Rahmenbedingungen folgen, gelten als autorisierte Handlungen. KNAPP wird daher keine rechtlichen Schritte gegen Sie unternehmen, wenn Sie die von uns verwendeten technischen Maßnahmen zum Schutz der in „Scope des Programms“ gelisteten Dienste und Systeme umgehen. Einige Aktionen (z.B. Zerstörung von Daten oder DDoS) werden jedoch gemäß des österreichischen Strafgesetzbuchs als Offizialdelikte betrachtet und von Amts wegen verfolgt, auch wenn diese nur unsere eigenen Systeme betreffen. Stellen Sie daher bitte sicher, dass Sie das österreichische Strafrecht befolgen.

Was wir versprechen:
Ihre Meldung wird von uns streng vertraulich behandelt und Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben. Wir werden Sie über die Fortschritte bei der Behebung der Schwachstelle auf dem Laufenden halten und bieten als Dankeschön für Ihre Mithilfe eine Belohnung. Voraussetzung hierfür ist, dass uns der Inhalt ihrer Meldung noch nicht bekannt war.

Was Sie versprechen:
Wenn Sie eine Schwachstelle finden, erstellen Sie einen prägnanten, detaillierten Bericht mit genauen Reproduktionsschritten. Idealerweise ist Ihr Bericht auch für Laien verständlich. Sie versprechen, dass Sie zu keiner Zeit Informationen über Ihre Meldung an Dritte weitergeben und Sie dürfen Ihre Funde nur zu Demonstrationszwecken ausnutzen, alles darüber hinaus ist untersagt. Ihr Bericht darf keine Bedingungen, Forderungen, Drohungen oder Lösegelder enthalten. Stellen Sie sicher, dass Sie sich an den vom EC-Council veröffentlichten Code of Ethics halten (https://www.eccouncil.org/code-of-ethics/).

Security Researcher
Jeder, der am Bug-Bounty-Programm teilnimmt und diese Regeln und Rahmenbedingungen befolgt, wird als „Security Researcher“ klassifiziert. Nur „Security Researcher“ können Belohnungen erhalten. Durch Ihre Teilnahme bestätigen Sie, dass Sie mindestens 18 Jahre alt sind oder die Erlaubnis Ihrer Eltern / Erziehungsberechtigten haben. Um als „Security Researcher“ klassifiziert werden zu können, dürfen Sie keine bestehende Beziehung als Angestellter zu KNAPP haben oder innerhalb der letzten sechs Monate bei KNAPP beschäftigt gewesen sein. Befolgen Sie die bestehenden Gesetze und begehen Sie keine rechtswidrigen Handlungen.

Bug Report
Der Bug Report ist eine zusammenfassende Beschreibung Ihrer Funde beziehungsweise der erkannten Schwachstelle. Der Bericht muss der erste für die entsprechende Schwachstelle und vollständig sein. Wenn zwei Fehlerberichte für dieselbe Schwachstelle für eine Belohnung in Frage kommen, wird nur der erste, der auf unserer Seite eingeht, belohnt (First Come, First Serve).

Ein Bericht ist vollständig, wenn der Fehler reproduziert werden kann und die möglichen Auswirkungen messbar sind. Außerdem muss er beschreiben, welche Dienste betroffen sind, wie wir das Problem reproduzieren können und (falls identifizierbar) die CVE-Nummer für die entsprechende Schwachstelle und die Beschreibung derselben enthalten.

Evaluation of reports
Die Bewertung des Bug Reports erfolgt ausschließlich durch uns, orientiert am Common-Vulnerability-Scoring-System.

Personal Data
Mit der Teilnahme am KNAPP Bug Bounty Programm stimmen Sie der Verarbeitung Ihrer personenbezogenen Daten nach Art. 6 (1)a DSGVO zu, sobald Sie Ihren Fehlerbericht an KNAPP senden oder sich an KNAPP wenden. Wenn Ihr Bericht für eine Belohnung in Frage kommt, muss KNAPP die erforderlichen personenbezogenen Daten (d.h. Ihren Namen, Ihre Bankverbindung usw.) zum Zweck der Überweisung der angebotenen Belohnung verarbeiten (Art. 6 (1) b DSGVO). Ihre personenbezogenen Daten werden nur so lange gespeichert, wie es aufgrund gesetzlicher Verpflichtungen und zur Erfüllung der oben genannten Zwecke erforderlich ist. Keine Ihrer persönlichen Daten werden ohne Ihre Zustimmung an andere Dritte weitergegeben. Eine automatisierte Entscheidungsfindung findet nicht statt. Weitere Informationen zum Thema Datenschutz und wie Sie Ihre Rechte als Betroffener geltend machen können, finden Sie unter https://www.knapp.com/en/home/privacy-policy/.