Responsible disclosure

Für uns bei NDIX ist die Sicherheit unserer Systeme besonders wichtig. Trotz unserer Bemühungen, den Schutz unserer Systeme sicherzustellen, kann es zu Schwachstellen kommen.

Sollten Sie eine solche Schwachstelle in einem unserer Systeme gefunden haben, freuen wir uns über eine Mitteilung, sodass wir so schnell wie möglich Maßnahmen ergreifen können. Wir möchten an dieser Stelle gerne mit Ihnen zusammenarbeiten, um unsere Kunden und unsere Systeme besser schützen zu können.

Wir bitten Sie:

  • Ihre Funde an folgende Adresse zu mailen: responsibledisclosure@ndix.net
  • das Problem nicht auszunutzen, indem Sie beispielsweise mehr Daten als notwendig herunterladen, um das Leck sichtbar zu machen oder Daten Dritter einsehen, löschen oder anpassen,
  • das Problem nicht mit anderen zu teilen, bis dieses behoben wurde, und alle vertraulichen Daten, die Sie über das Leck erhalten haben, direkt nach der Schließung des Lecks zu löschen,
  • keine Angriffe auf physische Sicherungen, social engineering, distributed denial of service, Spam oder Anwendungen Dritter zu nutzen, und
  • ausreichend Informationen zu übermitteln, sodass wir das Problem reproduzieren und so schnell wie möglich lösen können. In den meisten Fällen sind die IP-Adresse oder die URL des betroffenen Systems und eine Umschreibung der Sicherheitslücke ausreichend, jedoch könnten bei komplexeren Sicherheitslücken auch weitere Informationen von Nöten sein.

Wir versprechen:

  • innerhalb von 5 Arbeitstagen auf Ihre Meldung mit unserer Beurteilung der Meldung zu reagieren, unter der Angabe, wann das Problem voraussichtlich gelöst sein wird,
  • dass wir, sollten Sie die oben genannten Bedingungen erfüllt haben, keine juristischen Schritte bzgl. dieser Meldung gegen Sie einleiten werden,
  • dass wir Ihre Meldung vertraulich behandeln und Ihre Daten nicht ohne Ihre Zustimmung Dritten zugänglich machen werden, es sei denn, dies ist auf Grund von gesetzlichen Verpflichtungen unsererseits unumgänglich. Das Einreichen von Meldungen unter einem Pseudonym ist möglich,
  • dass wir Sie über den Fortschritt der Problemlösung unterrichten,
  • dass wir Sie, sofern Sie das wünschen, in Berichterstattungen über dieses Problem als den Entdecker benennen werden.

Wir versuchen alle Probleme so schnell wie möglich zu lösen und wir werden gerne bei einer eventuellen Publikation nach erfolgter Problemlösung einbezogen.