Verantwortungsvolle Offenlegung

Bei delaware hat die Sicherheit unserer Systeme höchste Priorität. Doch egal, wie viel Mühe wir uns mit der Systemsicherheit geben, es können immer noch Schwachstellen auftreten.

Wie man sich verhält, wenn man eine Schwachstelle entdeckt:

  • Senden Sie Ihre Ergebnisse per E-Mail an delaware.itsecurity@delaware.pro. Verschlüsseln Sie Ihre Ergebnisse mit unserem PGP-Schlüssel, um zu verhindern, dass diese wichtigen Informationen in die falschen Hände geraten,
  • Nutzen Sie die von Ihnen entdeckte Schwachstelle oder das Problem nicht aus, indem Sie z. B. mehr Daten als nötig herunterladen, um die Schwachstelle zu demonstrieren, oder indem Sie die Daten anderer Personen löschen oder verändern,
  • Geben Sie das Problem nicht an Dritte weiter, bevor es nicht gelöst ist,
  • Verwenden Sie keine Angriffe auf die physische Sicherheit, Social Engineering, Distributed Denial of Service, Spam oder Anwendungen von Dritten, und
  • Geben Sie ausreichend Informationen an, um das Problem zu reproduzieren, damit wir es so schnell wie möglich beheben können. In der Regel reichen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus, aber komplexe Schwachstellen erfordern möglicherweise weitere Erläuterungen.

Was können Sie erwarten?

  • Wir antworten innerhalb von 5 Werktagen auf Ihre Meldung und teilen Ihnen unsere Bewertung der Meldung sowie ein voraussichtliches Lösungsdatum mit,
  • Wenn Sie die oben genannten Anweisungen befolgt haben, werden wir in Bezug auf die Meldung keine rechtlichen Schritte gegen Sie einleiten,
  • Wir behandeln Ihren Bericht streng vertraulich und geben Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weiter,
  • Wir werden Sie über die Fortschritte bei der Lösung des Problems auf dem Laufenden halten,
  • In den öffentlichen Informationen über das gemeldete Problem werden wir Ihren Namen als Entdecker des Problems veröffentlichen (sofern Sie nichts anderes wünschen).

Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und wir möchten eine aktive Rolle bei der endgültigen Veröffentlichung des Problems spielen, nachdem es gelöst wurde.