Hintergrundbild Bug Bounty

Bug Bounty
Schwachstellen und Sicherheits­lücken an Hostpoint melden

Sie haben bei der Verwendung der Hostpoint-Produkte und -Services eine Schwachstelle oder Sicherheitslücke in unserem System entdeckt? Dann teilen Sie uns Ihre Beobachtung mit!

Sicherheit ist für Hostpoint von grösster Bedeutung

Wir sind stets um eine möglichst hohe Qualität bei unseren Produkten und Dienstleistungen bestrebt. Zudem legen wir bei unserer Arbeit grossen Wert auf den Schutz der Kundendaten. Aus diesen Gründen begrüssen wir es, wenn wir auf allfällige Sicherheitslücken oder Vorfälle aufmerksam gemacht werden.

Für das verantwortungsvolle Melden von Schwachstellen sind seitens Hostpoint keinerlei rechtliche Konsequenzen zu erwarten. Im Gegenteil: Entsprechende Meldungen belohnen wir im Rahmen unseres sogenannten «Bug Bounty»-Programms je nach dem sogar.

Piktogramm einer Website innerhalb einer Lupe mit einem Ausrufezeichen

Grundsätzliche Richt­linien für Schwach­stellenmeldungen

Damit wir Probleme effizient und schnell untersuchen und lösen können, beachten Sie für Ihre Meldung bitte folgende Richtlinien:

  • Arbeiten Sie mit uns zusammen! Fehler können überall auftreten. Deshalb erwarten wir einen fairen Austausch.
  • Beschreiben Sie die Schwachstelle so genau wie möglich (bspw. durch Screenshots, «Proof of Concept»-Skripte oder Schritt-für-Schritt-Anleitungen).
  • Nutzen Sie entdeckte Sicherheitslücken nicht aus und richten Sie keinen Schaden an.
  • Halten Sie sich an die in der Schweiz und in Ihrem Domizilland geltenden gesetzlichen Vorgaben.
  • Veröffentlichen Sie Ihre gefundene Schwachstelle nicht über andere Stellen/Kanäle (bspw. soziale Medien).
  • Geben Sie uns mind. 90 Tage Zeit, um Ihre Meldung zu prüfen und allfällige Schwachstellen zu beheben (dauert in den meisten Fällen nur wenige Stunden oder Tage).

Beachten Sie bitte zudem, dass sich einfache Verbesserungs­vorschläge oder Hinweise auf das Fehlen von bestimmten Funktionen nicht für unser «Bug Bounty»-Programm eignen.

Darstellung des Hostpoint Control Panels und einer E-Mail-Nachricht
Piktogramm einer Sprechblase mit einem Warnsymbol

Was ist Responsible Disclosure?

Unter «Responsible Disclosure» (verantwortungsvolle Offenlegung) versteht man ein koordiniertes und faires Meldeverfahren für entdeckte Schwachstellen und Sicherheitslücken, bei dem Entdecker einer Schwachstelle mit den Entwicklern des entsprechenden Systems zusammenarbeiten.

Entdeckte Sicherheitslücken werden nach der Meldung an die Entwickler nicht oder nicht unmittelbar öffentlich gemacht. Beim «Responsible Disclosure» gelten folgende Grundsätze:

  • Den Entwicklern wird ausreichend Zeit für die Fehlerbehebung eingeräumt (mind. 90 Tage). Während dieser Zeit werden weder Öffentlichkeit noch Drittstellen über die Schwachstellen informiert.
  • Generell gilt, dass entdeckte Sicherheitslücken von den Entdeckern nicht ausgenutzt werden (Beschädigung oder Beeinträchtigung der Systeme, Datendiebstahl, Spionage etc.).
  • Die Entdecker stellen keine finanziellen Forderungen als Vorbedingung der Meldung (Erpressung).

Wie funktioniert das Bug-Bounty-Programm?

Hinweise auf entdeckte Schwachstellen nehmen wir natürlich gerne entgegen. Und je nach Fall wird Ihre Meldung eventuell sogar finanziell belohnt!

Piktogramm eines Briefumschlags mit einem Ausrufezeichen

Wie melde ich eine entdeckte Schwachstelle an Hostpoint?

Senden Sie uns Ihre Entdeckungen zu Schwachstellen, Sicherheitslücken oder Vorfällen möglichst gut dokumentiert an die E-Mail-Adresse rd@hostpoint.ch (GPG Key) und halten Sie sich bereit für Rückfragen. Wir werden uns bei Ihnen melden.

Bei Fragen zum Meldeverfahren bzw. zum «Bug Bounty»-Programm von Hostpoint können Sie sich auch gerne an unseren Support wenden.

Piktogramm einer Hand, die ein Dollar-Zeichen trägt

Was für eine Belohnung gibt es für gefundene Schwachstellen (Bug Bounty)?

Alle eingegangenen Meldungen werden einzeln geprüft, behoben und nach bestimmten Kriterien eingestuft (insbesondere nach Kritikalität und Komplexität der Schwachstelle). Nach dieser Beurteilung kann je nach Fall eine finanzielle Belohnung erfolgen, die von Hostpoint ausgezahlt wird.

 

Wir sind von Anfang an für Sie da!

Antworten und Anleitungen finden Sie auch im Support Center

Gruppe von Support-Mitarbeitern Gruppe von Support-Mitarbeitern