Richtlinie zum Melden von Schwachstellen

Gültig von: 17.06.2020
Eigentümer: Tarmo Randel, Information Security Manager

Einführung

Es ist das Ziel von Bolt, die besten und sichersten Produkte und Dienstleistungen anzubieten. Wir schätzen die Arbeit von Sicherheitsforschern, die Zeit und Mühe aufwenden, um uns dabei zu helfen, unsere Plattform und Apps sicherer zu machen.

Wenn du eine Schwachstelle oder andere Sicherheitsprobleme in unserer Serviceplattform oder Anwendung gefunden hast, kontaktiere bitte die Sicherheitsabteilung (security@bolt.eu). Wir führen auch ein Bug Bounty Programm durch, kontaktiere Security für weitere Details.

Grundregeln und Erwartungen

  • Tue nichts, was dir oder anderen Schaden zufügen könnte.
  • Respektiere die Privatsphäre unserer Nutzer.
  • Wir dulden keine Erpressung.
  • Veröffentliche die Ergebnisse nicht ohne unsere Zustimmung.
  • Sei respektvoll, wenn du mit Bolt-Mitarbeitern interagierst. Es kann sein, dass wir dir wegen der Arbeitsbelastung nicht sofort antworten, aber wir reagieren.
  • Nur der erste Reporter einer unbekannten Schwachstelle kann eine Belohnung kassieren.
  • Wir verwenden kein Paypal und keine Kryptowährung, um Belohnungen auszuzahlen.
  • Wir belohnen keine Entdeckungen, solange der geplante Sicherheitstest unserer Anwendungen noch läuft.

Rechtliche Informationen

Bitte beachte immer die lokalen Gesetze. Wir lehnen kriminelle Aktivitäten in jeglicher Form ausdrücklich ab.

Offenlegungsrichtlinien

  • Teste nur Systeme im Geltungsbereich.
    • Beschreibe die Voraussetzungen, die erfüllt sein müssen, um die Sicherheitslücke auszunutzen.
    • Beschreibe den getesteten Systemzustand.
    • Falls möglich, stelle den Proof-of-Concept-Code bereit
  • Bei der Suche nach Schwachstellen bitten wir dich, so wenig aufdringlich wie möglich zu sein. Verwende nur harmlose Payloads in deinen Angriffen.
  • Bitte störe unsere Dienste nicht absichtlich und bemühe dich mit gutem Willen, unsere Dienste nicht versehentlich zu stören.
  • Benutze Test-Accounts und kompromittiere keine Accounts, Daten oder die Privatsphäre anderer Nutzer.
  • Verwende oder melde keine Ergebnisse von automatisierten Scan-Tools.
  • Starte keine DoS-Attacken oder versuche nicht generell hohe Lasten zu erzeugen. Wenn du denkst, dass unsere Server ein spezifisches Problem im Umgang mit hohen Lasten haben, kannst du das theoretisch mit uns diskutieren und wir versuchen, deine Erkenntnisse in einer unproduktiven Umgebung zu reproduzieren.

Der Anwendungsbereich

  • Bolt Fahrer Anmeldung; iOS, Android und Web.
  • Bolt Rider Anmeldung; iOS, Android und Web.
  • Bolt Food Anmeldungen.
  • *.bolt.eu
  • *.taxify.eu

Nicht-qualifizierende Schwachstellen

  • Clickjacking auf Seiten ohne Datenänderung.
  • Unauthenticated/logout/login CSRF.
  • Angriffe, die MITM oder physischen Zugriff auf das Gerät eines Nutzers erfordern.
  • Bisher bekannte verwundbare Bibliotheken ohne einen relevanten Bolt bezogenen funktionierenden PoC.
  • Die bewährte SSL/TLS-Konfiguration fehlt oder die Kommunikation erfolgt ohne TLS.
  • Jede Aktivität, die zu einer Unterbrechung des Dienstes (DoS) führen könnte.
  • Probleme mit Content-Spoofing und Textinjektion, ohne dass ein Angriffsvektor angezeigt wird/ohne dass HTML/CSS verändert werden kann.
  • SPF, DKIM, DMARC Probleme.
  • Cookie-Flaggen.
  • XSS (oder ein Verhalten), bei dem man nur sein eigenes Konto angreifen kann.
  • XSS auf Seiten, auf denen Administratoren absichtlich volle HTML-Bearbeitungsmöglichkeiten erhalten.
  • Reflektierter Dateidownload.
  • Physische Sicherheit der Büros und Mitarbeiter von Bolt.

Ausschlüsse

  • Social Engineering von Bolt-Mitarbeitern.
  • Wissentliches Veröffentlichen, Übertragen, Hochladen, Verlinken, Versenden oder Speichern von bösartiger Software.
  • Anwendungen, Websites oder Dienste von Dritten, die in die Dienste von Bolt integriert sind oder mit diesen verlinkt sind.
  • Arbeiter oder Partner von Bolt sein.

Zeitleiste

Wir bemühen uns, deine E-Mail innerhalb von zwei Werktagen zu beantworten und bitten dich, deine E-Mail auf Englisch zu verfassen. Nach unserer ersten Antwort werden wir die Ergebnisse auswerten und uns spätestens nach einer Woche mit dir in Verbindung setzen.

Offenlegung

  • Wir bitten dich, keine technischen Details einer von dir gefundenen Schwachstelle zu veröffentlichen, um uns die Möglichkeit zu geben, diese zu beheben. Wir versuchen, mit dir einen Zeitplan für die Offenlegung zu vereinbaren.
  • Bevor du eine Meldung einreichst, bitten wir dich unsere Offenlegungsrichtlinien zu lesen.
  • Du kannst jede Schwachstelle in unseren Systemen und Produkten an security@bolt.eu mit oder ohne Verwendung unseres PGP-Schlüssels melden