Deutsch (Active: English)

Calendar

Disclosure

Der CCC unterstützt bei der Meldung von Sicherheitslücken nach dem Responsible-Disclosure- beziehungsweise Coordinated-Vulnerability-Disclosure-Verfahren.

Um eine Sicherheitslücke zu melden, können Reports über Sicherheitslücken an disclosure@ccc.de gesendet werden. Wir nehmen gern auch verschlüsselte E-Mails entgegen.

Deine Meldung an uns sollte enthalten:

  • nachvollziehbare Schritte, die es uns erlauben, die Sicherheitslücke zu verstehen,
  • eine Beschreibung des Schadens und welche Informationen zugreifbar sind, insbesondere wenn es sich um personenbezogene Daten Dritter handelt,
  • (optional) Screenshots, um beispielsweise den Zugriff auf ein Admin-Portal nachzuweisen,
  • (gern gesehen) Empfehlungen zur Behebung der Sicherheitslücke.

Wir prüfen die Meldungen und leiten sie weiter, wenn wir die Sicherheitslücke nachvollziehen können. Dabei versuchen wir auf Wunsch, eure Identität zu schützen. Bei eventuellen rechtlichen Schritten seitens der Empfänger*innen der Nachricht taucht dann zunächst der CCC als Absenderin der Meldung auf. Zusätzlich schadet es selten, auf gute OpSec zu achten.

Wir unterstützen nicht bei der Meldung von Sicherheitslücken, wenn mit der Meldung finanzielle Interessen verfolgt werden. Wenn also eine Bug Bounty oder ähnliche Gegenleistung erwartet wird, dann bearbeiten wir die Meldung nicht.

Sobald die Sicherheitslücke behoben wurde oder nach Ablauf von 90 Tagen nach unserer Meldung, veröffentlichen wir hier Informationen zur Sicherheitslücke.

Autologin beim IQSH

2024-12-19 23:00:15, kantorkel

more …

Check24 und Verivox: Darlehensverträge im Datenleckvergleich

2024-09-17 06:21:27, kantorkel

more …

NAGA: Ausweiskopien und Kreditkartendaten

2024-07-31 13:05:16, kantorkel

more …

Vabali: Sauna, Wellness & Datenleck

2024-07-25 07:42:19, kantorkel

more …

dubidoc: Datenleck trotz ISO 27001

2024-02-16 09:17:38, kantorkel

more …

medbill: Diagnose Datenleck

2024-01-15 08:44:01, kantorkel

more …

Fackelmann-Shop verliert Daten

2024-01-15 08:42:53, kantorkel

more …

acardo: Rabatte und Risiken

2024-01-15 08:42:33, kantorkel

more …

SEMAsystems: von öffentlich einsehbaren Zugangsdaten zu Unfallberichten

2023-12-28 22:52:00, vollkorn

more …

3pc GmbH Neue Kommunikation: öffentlich einsehbare Zugangsdaten

2023-12-28 22:26:10, vollkorn

more …

VALID Digitalagentur: öffentlich einsehbare Zugangsdaten und eine Local File Inclusion

2023-12-28 21:39:28, vollkorn

more …

Landessportbund Sachsen-Anhalt: öffentlich einsehbare Datenbank

2023-12-28 21:19:50, vollkorn

more …

Zebralog: gültiges Zugriffstoken öffentlich lesbar

2023-12-28 21:12:32, vollkorn

more …

Tags