Das Bug-Bounty-Programm
von Infomaniak
Tragen Sie zur Verbesserung unserer ethischen Lösungen bei, um unseren Kunden ein Höchstmass an Sicherheit zu bieten, und schliessen Sie sich unserer Research-Community an.
Am Programm teilnehmenEngagement für Cybersicherheit und Vertrauen im Digitalbereich
Absolute Sicherheit gibt es nicht. Deshalb ist sie unsere oberste Priorität und steht im Mittelpunkt all unserer Prozesse und Entwicklungen.
Unsere Lösungen konzentrieren sich auf die wesentlichen Bedürfnisse unserer Nutzer*innen, um menschliche Sicherheitsfehler zu minimieren.
Unsere Technologien werden in der Schweiz von unseren Teams entwickelt und / oder basieren auf weltweit anerkannten Open-Source-Projekten.
Whistleblower sind geschützt, und unsere Mitarbeitenden können jederzeit anonym auf etwaige Unregelmässigkeiten hinweisen.
Die uns anvertrauten Daten werden in unseren Rechenzentren in der Schweiz im Einklang mit unserer engagierten Datenschutzrichtlinien, dem DSG und der DSGVO gehostet und verarbeitet.
Um diesen Ansatz zu vervollständigen, arbeiten wir mit der Schwarmintelligenz unserer Community aus Sicherheitsforschern*innen und ethischen Hackern*innen zusammen, um unseren Kunden maximale Sicherheit zu bieten.
Ihr Ziel: der Sicherheit unserer Lösungen auf den Zahn zu fühlen
Wir ermutigen jeden, der mit unseren Produkten und Dienstleistungen interagiert, erkannte Schwachstellen unserem Sicherheitsteam zu melden. Sollte sich der Hinweis als richtig erweisen, winken ordentliche Belohnungen! Ausserdem ist dies eine gute Möglichkeit, mit unseren technischen Teams in Kontakt zu treten, um sich Infomaniak anzuschliessen und zur Entwicklung einer ethischen, datenschutzkonformen und umweltfreundlichen Cloud beizutragen.
So funktioniert's?
Die Sicherheit und das Vertrauen unserer Kunden haben für uns oberste Priorität. Mit unserem Bug-Bounty-Programm belohnen wir ethische Hacker*innen und Forscher*innen, die dazu beitragen, die Cybersicherheit unserer ethischen Cloud-Lösungen zu erhöhen.
1
2
3
Melden Sie die entdeckte Schwachstelle
Beschreiben Sie uns die ermittelte Schwachstelle so genau wie möglich.
Treten Sie mit unserem Sicherheitsteam in Kontakt
Ein(e) Experte*in wird Ihren Bericht analysieren und sich mit Ihnen in Verbindung setzen, um weitere Informationen zu erhalten.
Erhalten Sie ein Follow-up und Ihre Belohnung
Sie können die Angelegenheit weiterverfolgen und werden entsprechend der erbrachten Leistung vergütet.
Das Vertrauen unserer Kunden ist unsere Priorität. Wir fördern die Zusammenarbeit zwischen unserem Sicherheitsteam und der Community, um unsere Cyberresilienz zu stärken. Unser Bug-Bounty-Programm zeugt von unserem Engagement für Sicherheit, Datenschutz und Transparenz.
Nehmen Sie am Bug-Bounty-Programm teil
Treten Sie der YesWeHack-Plattform bei, um uns Schwachstellen zu melden und eine Ihrem Beitrag angemessene Vergütung zu erhalten.
Am Bug-Bounty-Programm teilnehmenWir bevorzugen die YesWeHack-Plattform , die als vertrauenswürdiger Dritter fungiert. Bei Bedarf können Sie uns Ihren Bericht an folgende Adresse schicken security@infomaniak.com
Öffentlicher PGP-Schlüssel:
Schlüssel herunterladenFragen? Unsicherheiten?
Nachfolgend eine Zusammenstellung der uns häufig gestellten Fragen.
Warum die YesWeHack-Plattform nutzen?
Der Online-Bug-Bounty-Service YesWeHack ermöglicht uns, Ihre Mitteilungen schneller zu bearbeiten, während die Auswertung vom Serviceteam überwacht wird und wir über bessere Kommunikationsmittel für die Zusammenarbeit mit Experten*innen für Sicherheitslücken verfügen.
Die Belohnungen werden dann automatisch gemäss der Stichhaltigkeit des Berichts und dem Schweregrad der Feststellungen verwaltet.
Sie profitieren von einem leistungsstarken Tool, um mit den internen Teams von Infomaniak zusammenzuarbeiten.Wie werden Sicherheitsberichte bewertet?
Bitte beschreiben Sie die ermittelte Schwachstelle so ausführlich wie möglich, damit wir die Schwere und die Auswirkungen Ihrer Feststellung richtig einschätzen können.
Bei der Auswertung des YesWeHack-Teams wird die identifizierte Schwachstelle für eine zweite Bewertung Ihres Berichts reproduziert (PoC).
Unsere Teams werden anhand der CVSS-Kriterien, der Auswirkungen auf unser Kerngeschäft und anderer interner Kriterien eine abschliessende Bewertung vornehmen.Welche Regeln und Tests sind erlaubt?
Bitte beachten Sie Ihren Recherchen die folgenden Regeln:- Denial-of-Service (DoS)-Angriffe auf unsere Anwendungen, Server, Netzwerke oder Infrastruktur sind strengstens untersagt.
- Vermeiden Sie Tests, die zu einer Verschlechterung oder Unterbrechung unserer Dienste führen könnten.
- Verwenden Sie keine automatisierten Scanner oder Tools, die erheblichen Netzwerkverkehr verursachen.
- Bitte sehen Sie davon ab, Daten oder Dateien von Nutzern*innen in einer unserer Anwendungen / auf einem unserer Server offenzulegen, zu manipulieren oder zu zerstören.
- Kopieren Sie keine Dateien unserer Anwendungen / Server und legen Sie diese nicht offen.
- Schwachstellen dürfen weder vollständig noch teilweise noch auf sonstige Weise offengelegt werden.
Wie funktioniert das Bug-Bounty-System?
Unser YesWeHack-Programm umfasst abgestufte Prämien, die sich nach der Bewertung des Schweregrads und der Auswirkungen richten. Sobald Ihr Bericht validiert wurde, wird über das YesWeHack-System automatisch eine Belohnung gewährt und ausgezahlt.