Um eine Sicherheitslücke zu melden, können Reports über Sicherheitslücken an disclosure@ccc.de gesendet werden. Wir nehmen gern auch verschlüsselte E-Mails entgegen.

Deine Meldung an uns sollte enthalten:

• nachvollziehbare Schritte, die es uns erlauben, die Sicherheitslücke zu verstehen,
• eine Beschreibung des Schadens und welche Informationen zugreifbar sind, insbesondere wenn es sich um personenbezogene Daten Dritter handelt,
• (optional) Screenshots, um beispielsweise den Zugriff auf ein Admin-Portal nachzuweisen,
• (gern gesehen) Empfehlungen zur Behebung der Sicherheitslücke.

Wir prüfen die Meldungen und leiten sie weiter, wenn wir die Sicherheitslücke nachvollziehen können. Dabei versuchen wir auf Wunsch, eure Identität zu schützen. Bei eventuellen rechtlichen Schritten seitens der Empfänger*innen der Nachricht taucht dann zunächst der CCC als Absenderin der Meldung auf. Zusätzlich schadet es selten, auf gute OpSec zu achten.

Wir unterstützen nicht bei der Meldung von Sicherheitslücken, wenn mit der Meldung finanzielle Interessen verfolgt werden. Wenn also eine Bug Bounty oder ähnliche Gegenleistung erwartet wird, dann bearbeiten wir die Meldung nicht.

Sobald die Sicherheitslücke behoben wurde oder nach Ablauf von 90 Tagen nach unserer Meldung, veröffentlichen wir hier Informationen zur Sicherheitslücke.