Responsible Disclosure - NDIX

Responsible Disclosure

Für uns bei NDIX ist die Sicherheit unserer Systeme besonders wichtig. Trotz unserer Bemühungen, den Schutz unserer Systeme sicherzustellen, kann es zu Schwachstellen kommen.

Sollten Sie eine solche Schwachstelle in einem unserer Systeme gefunden haben, freuen wir uns über eine Mitteilung, sodass wir so schnell wie möglich Maßnahmen ergreifen können. Wir möchten an dieser Stelle gerne mit Ihnen zusammenarbeiten, um unsere Kunden und unsere Systeme besser schützen zu können.

 

Wir bitten Sie:

  • Ihre Funde an folgende Adresse zu mailen: responsibledisclosure@ndix.net
  • das Problem nicht auszunutzen, indem Sie beispielsweise mehr Daten als notwendig herunterladen, um das Leck sichtbar zu machen oder Daten Dritter einsehen, löschen oder anpassen,
  • das Problem nicht mit anderen zu teilen, bis dieses behoben wurde, und alle vertraulichen Daten, die Sie über das Leck erhalten haben, direkt nach der Schließung des Lecks zu löschen,
  • keine Angriffe auf physische Sicherungen, social engineering, distributed denial of service, Spam oder Anwendungen Dritter zu nutzen, und
  • ausreichend Informationen zu übermitteln, sodass wir das Problem reproduzieren und so schnell wie möglich lösen können. In den meisten Fällen sind die IP-Adresse oder die URL des betroffenen Systems und eine Umschreibung der Sicherheitslücke ausreichend, jedoch könnten bei komplexeren Sicherheitslücken auch weitere Informationen von Nöten sein.

Wir versprechen:

  • innerhalb von 5 Arbeitstagen auf Ihre Meldung mit unserer Beurteilung der Meldung zu reagieren, unter der Angabe, wann das Problem voraussichtlich gelöst sein wird,
  • dass wir, sollten Sie die oben genannten Bedingungen erfüllt haben, keine juristischen Schritte bzgl. dieser Meldung gegen Sie einleiten werden,
  • dass wir Ihre Meldung vertraulich behandeln und Ihre Daten nicht ohne Ihre Zustimmung Dritten zugänglich machen werden, es sei denn, dies ist auf Grund von gesetzlichen Verpflichtungen unsererseits unumgänglich. Das Einreichen von Meldungen unter einem Pseudonym ist möglich,
  • dass wir Sie über den Fortschritt der Problemlösung unterrichten,
  • dass wir Sie, sofern Sie das wünschen, in Berichterstattungen über dieses Problem als den Entdecker benennen werden.

Wir versuchen alle Probleme so schnell wie möglich zu lösen und wir werden gerne bei einer eventuellen Publikation nach erfolgter Problemlösung einbezogen.

Willkommen in unserer Ruhmeshalle

Dies ist ein Raum, der denjenigen gewidmet ist, die durch verantwortungsvolle Meldung von Sicherheitslücken wesentlich zu unserer digitalen Sicherheit beigetragen haben. Wir möchten diesen außergewöhnlichen Personen unseren aufrichtigen Dank aussprechen, deren Bemühungen eine entscheidende Rolle dabei spielen, unsere Verteidigung gegen Cyberbedrohungen zu stärken. Ihre Wachsamkeit und ihr Engagement für eine verantwortungsvolle Offenlegung sind von unschätzbarem Wert für die Schaffung einer sichereren und widerstandsfähigeren digitalen Landschaft

Naam: Mridul Rastogi
Reported: Absence of MTA-STS record
Status: Ongoing

Naam: Gaurang maheta
Reported: CVE-2017-5487
Status: Resolved

Name: Mridul Rastogi
Reported: CWE-346
Status: Closed

Name: Yash Ahmed Quashim
Issue: CWE-346 invalid DMARC
Status: Resolved

Name: SASI KUMAR R
Issue: RFC 6844
Status: Closed

Name: Joel Mathias
Issue: No Rate Limit On Report bug
Status: Closed

Name: Bharath Kalyan
Issue: No rate limit on login page
Status: Closed

Name: Sanjith Roshan
Issue: Password Reset Link No CVE
Status: Closed