Vulnerability Disclosure Policy (VDP)

IT-Sicherheit ist zentraler Bestandteil der strategischen Ausrichtung von Mesalvo. Wir legen größten Wert darauf, die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen sicherzustellen. Dennoch können Schwachstellen auftreten oder vorhanden sein.

Wir möchten hiermit unabhängige Sicherheitsforscher:innen dazu ermutigen, Schwachstellen gemäß der hier vorliegenden Policy gegenüber Mesalvo offen zu legen.

Vorgehen zur Meldung einer Schwachstelle oder Sicherheitslücke

Zur Meldung einer Schwachstelle oder Sicherheitslücke gehen Sie bitte wie folgt vor:

Informieren Sie sich vor Ihrer Meldung über die Fälle, die nicht in den Geltungsbereich unserer Vulnerability Disclosure Policy fallen und in diesem Rahmen nicht bearbeitet werden.

Senden Sie Ihre Ergebnisse zu dem Sicherheitsproblem per E-Mail an isb@mesalvo.com.

Wir bitten Sie um Verwendung folgender Formatvorlage:

Betreff: Schwachstellenmeldung

Titel/Bezeichnung der Schwachstelle: _____
Betroffenes Produkt, inkl. Versionsangabe (Pflicht): _____
Exploitationstechnik:
    [ ] Remote
    [ ] Local
    [ ] Netzwerk
    [ ] Physisch
Beschreibung der Schwachstelle: _____
Vermutete Auswirkung der Schwachstelle: _____
Vermutung, ob die Schwachstelle bereits ausgenutzt wird: _____
Proof of Concept: _____
Aufzeigen einer Lösungsmöglichkeit: _____
Autor und Kontaktdaten inkl. E-Mail und Telefon (optional): _____
Angabe, ob Sie als Entdecker der Schwachstelle genannt werden möchten:
    [ ] ja  
    [ ] nein

Nutzen Sie die Schwachstelle oder das Problem nicht aus, indem Sie beispielsweise Daten herunterladen, verändern, löschen oder Code hochladen. Führen Sie keine Angriffe auf unsere IT-Informationstechnik-Systeme durch, die Infrastruktur und Personen kompromittieren, verändern oder manipulieren. Führen Sie keine Social-Engineering (z.B. Phishing), (Distributed) Denial of Service, Spam oder andere Angriffe auf Mesalvo durch.

Geben Sie Informationen über die Schwachstelle nicht an dritte Personen oder Institutionen weiter, außer dies wurde durch Mesalvo freigegeben.

Stellen Sie uns hinreichend Informationen zur Verfügung, damit wir das Problem reproduzieren und analysieren können. Stellen Sie bitte auch eine Kontaktmöglichkeit für Rückfragen bereit.

Was wir versprechen

Wir werden Ihren Bericht vertraulich behandeln und Sie über den Bearbeitungsstand informiert halten. Wir verpflichten uns bei einer Schwachstellenmeldung mit Ihnen zu kooperieren und gemeldete valide Schwachstellen so schnell wie möglich zu schließen.

Qualifizierte Meldung von Schwachstellen

Jedes Design- oder Implementierungsproblem bei Mesalvo, das reproduzierbar ist und die Sicherheit beeinträchtigt, kann gemeldet werden. Beispiele sind:

  • Cross Site Request Forgery (CSRF)
  • Cross Site Scripting (XSS)
  • Insecure Direct Object Reference
  • Remote Code Execution (RCE) – Injection Flaws
  • Information Leakage and Improper Error Handling
  • Unbefugter Zugriff auf Eigenschaften oder Konten
  • Daten-/Informations-Leaks
  • Möglichkeit der Exfiltration von Daten/Informationen
  • Aktiv ausnutzbare Hintertüren (Backdoors)
  • Möglichkeit einer unautorisierten System-Nutzung
  • Fehlkonfigurationen

Nicht-qualifizierte Schwachstellen

Die folgenden Schwachstellen und Sicherheitslücken fallen NICHT in den Geltungsbereich der Vulnerability Disclosure Policy von Mesalvo:

  • Angriffe, die einen physischen Zugriff auf das Gerät oder Netzwerk eines Benutzers erfordern.
  • Formulare mit fehlenden CSRF-Token (Ausnahme: Die Kritikalität übersteigt das Common Vulnerability Scoring System (CVSS) Stufe 5.).
  • Missing Security Headers, die nicht direkt zu einer ausnutzbaren Schwachstelle führen.
  • Die Verwendung einer als anfällig oder öffentlich als gebrochen bekannte Bibliothek (ohne aktiven Nachweis der Ausnutzbarkeit).
  • Berichte von automatisierten Tools oder Scans ohne erklärende Dokumentation.
  • Social Engineering gegen Personen oder Einrichtungen von Mesalvo und seinen Partnern.
  • Denial of Service Angriffe (DoS/DDoSDistributed Denial of Service).
  • Bots, SPAM, Massenregistrierung.
  • Keine Einreichung von Best Practices (z.B. Certificate Pinning, Security Header).
  • Verwendung von anfälligen und „schwachen“ Cipher-Suites/Chiffren.