Was ist ein Responsible-Disclosure-Programm?

Ein Responsible-Disclosure-Programm lädt Sicherheitsforscher ein, unsere Anwendungen auf Schwachstellen zu testen. Wenn du eine Sicherheitslücke entdeckst und diese verantwortungsbewusst unter Einhaltung unserer Regeln meldest, kannst du möglicherweise eine Belohnung erhalten. Dieses Programm zielt darauf ab, die Zusammenarbeit zwischen Appinio und der Sicherheits-Community zu fördern, um die allgemeine Sicherheitslage von Appinio zu verbessern.

Der Geltungsbereich dieses Programms umfasst die folgenden Domains: research.appinio.com

Außerhalb des Geltungsbereichs

Die folgenden Schwachstellen sind ausdrücklich außerhalb des Geltungsbereichs und berechtigen nicht zum Erhalt von Bug-Bounties. Denial-of-Service (DoS)-Angriffe E-Mail-bezogene Schwachstellen (z. B. Fehlkonfigurationen von SPF, DKIM, DMARC) Social Engineering OSINT-bezogene Ergebnisse, wie z. B. durchgesickerte Anmeldeinformationen (Leaked Credentials)

Meldung von Schwachstellen

Um eine Schwachstelle zu melden, sende bitte eine E-Mail an vulnerability-reports@appinio.com. Deine Meldung sollte die folgenden Informationen enthalten: Eine klare und prägnante Beschreibung der Schwachstelle, inkl. der potenziellen Auswirkungen. Schritte zur Reproduktion der Schwachstelle. Die betroffene URL. Jegliches unterstützendes Material (z. B. Screenshots, Proof-of-Concept-Code).

Wir bestätigen den Eingang deiner Meldung so schnell wie möglich und beginnen mit der Priorisierung deiner Meldung unmittelbar nach deren Eingang. Unser Ziel ist es, dir innerhalb einer Woche eine Bestätigung darüber zu geben, ob wir deine Meldung als gültig erachten und eine Prämie am Ende des Prozesses zu vergeben, und wir bemühen uns, dich während des gesamten Entwicklungsprozesses der Behebung regelmäßig auf dem Laufenden zu halten. Prämien werden ausgezahlt, nachdem eine Lösung für die gemeldete Schwachstelle entwickelt wurde.

Wir bitten dich, deine Erkenntnisse niemandem mitzuteilen, bis die Schwachstelle behoben wurde. Bitte beachte, dass du keine Prämie erhältst, wenn du deine Erkenntnisse öffentlich machst, bevor wir sie beheben können. Vermeide störende Tests, die zu Störungen in unseren Systemen führen könnten. Denial-of-Service-Schwachstellen gelten als außerhalb des Geltungsbereichs und werden nicht mit einer Prämie ausgezeichnet. Du darfst nur die Systeme testen, die im Geltungsbereich dieses Bug-Bounty-Programms liegen. Bitte teste keine Systeme außerhalb des Geltungsbereichs dieses Programms. Sobald du bestätigt hast, dass du eine Schwachstelle gefunden hast, bitten wir dich, keine weiteren Exploits zu versuchen, sondern uns diese stattdessen sofort zu melden. Bitte stelle sicher, dass deine Meldung alle relevanten Informationen enthält, um deine Erkenntnisse zu überprüfen. Dies wird uns helfen, deine Meldung schnell zu priorisieren und zu einer schnelleren Auszahlung deiner Prämie führen.

Gewährleistung sicherer Infrastruktur

Datensicherheit

Bei Appinio steht Datensicherheit an erster Stelle. Unsere Experten überwachen unsere Systeme und sind immer auf dem Laufenden im ständigen Wandel der Online-Sicherheit, um so das Höchstmaß an Schutz zu gewährleisten.

3.000+ Kunden und Kundinnen nutzen bereits Appinio

geobra Brandstaetter Stiftung & Co. KG original

Maßnahmen zur Datensicherheit

Sicherheit der Daten

Um die Sicherheit der Daten unserer Kunden und Kundinnen wie auch App-Nutzenden zu gewährleisten, setzt Appinio Verschlüsselungsmethoden für Datenübertragungen und Daten im Ruhezustand ein. Wir verwenden Tools und Hardware-Sicherheitsmodule zur Verwaltung von Verschlüsselungsschlüsseln und befolgen branchenübliche Best Practices, um die Sicherheit zu maximieren.

Sicherheit der Infrastruktur

Wir nutzen Amazon Web Services zum Hosten unserer Programme und Tools. Wir nutzen die in das AWS-Ökosystem eingebetteten Sicherheitsprodukte, einschließlich GuardDuty, CloudWatch und CloudTrail, voll aus. Darüber hinaus stellen wir unsere Anwendung mit Hilfe von Containern bereit, die auf verwalteten AWS-Services ausgeführt werden, was bedeutet, dass wir in der Regel keine Server oder EC2-Instanzen in der Produktion verwalten müssen.

Anwendungssicherheit

Um die Sicherheit unseres Produktes zu gewährleisten, setzt Appinio hochwertige Tools ein, um den Code zu analysieren und in jeder Phase des Entwicklungsprozesses nach Schwachstellen zu suchen. Der Traffic innerhalb und zwischen unseren Programmen und Tools ist immer SSL-verschlüsselt.

Informationssicherheit

Appinio folgt dem Prinzip der geringsten Privilegien in jedem kritischen Teil unserer Infrastruktur und Systeme. Wir nutzen eine Multi-Faktor-Authentifizierung für jedes Tool, das wir verwenden und schulen unser Team monatlich in Sachen Security Awareness.

Zuverlässig und vertrauenswürdig

GDPR

Wir sind vollständig GDPR-konform und verpflichten uns zum Schutz personenbezogener Daten.
Technische & organisatorische Maßnahmen

Dieser Bereich wird derzeit aktualisiert. Unsere neuesten Maßnahmen sind in Kürze wieder hier verfügbar.
SOC 2 Type II

Aufgrund einer Systemumstellung vorübergehend nicht verfügbar. In Kürze wieder online.

Sicherheitslücke entdeckt?

Wenn du ein Sicherheitsexperte oder -forscher bist und glaubst, ein sicherheitsrelevantes Problem auf den Webseiten und Produkten von Appinio entdeckt zu haben, freuen wir uns über deine Hilfe. Bitte informiere uns über dieses Problem.

Mehr zu unserem Responsible Disclosure Program findest du weiter unten.

vulnerability-reports@appinio.com

Appinio Vulnerability Disclosure Program

Wir legen großen Wert auf die Sicherheit unserer Anwendungen und schätzen die Arbeit von Sicherheitsforschern, die uns dabei helfen, potenzielle Schwachstellen zu identifizieren und zu schließen. Wir begrüßen die verantwortungsvolle Offenlegung (Responsible Disclosure) von Sicherheitslücken in den unten aufgeführten Systemen.

Bitte beachten: Appinio betreibt kein bezahltes Bug-Bounty-Programm und bietet keine finanziellen Belohnungen für gemeldete Schwachstellen an. Wir prüfen jedoch jeden validen Report, beheben bestätigte Schwachstellen und nehmen Forscher, die Fehler verantwortungsvoll melden, auf Wunsch gerne in unsere Hall of Fame auf (bzw. nennen sie öffentlich).

Scope (In dem Programm enthalten)

Dieses Programm deckt die folgenden Domains ab:

research.appinio.com

Out of Scope (Nicht im Programm enthalten)

Folgende Punkte sind explizit von diesem Programm ausgeschlossen:

Denial-of-Service-Angriffe (DoS/DDoS)
E-Mail-bezogene Befunde (z. B. Fehlkonfigurationen von SPF, DKIM oder DMARC)
Social Engineering (z. B. Phishing)
OSINT-bezogene Funde, wie beispielsweise geleakte Zugangsdaten

Schwachstellen melden

Um eine Schwachstelle zu melden, sende bitte eine E-Mail an vulnerability-reports@appinio.com. Dein Report sollte folgende Informationen enthalten:

Eine klare, präzise Beschreibung der Schwachstelle und ihrer potenziellen Auswirkungen
Schritte zur Reproduktion (Reproduktionsschritte)
Die betroffene URL bzw. Komponente
Unterstützende Materialien (z. B. Screenshots, Proof-of-Concept-Code)

Ein vollständiger Report hilft uns, die Risikobewertung (Triage) schnellstmöglich durchzuführen.

Bearbeitungszeit und Timelines

Wir bestätigen den Erhalt deines Reports so schnell wie möglich und beginnen direkt mit der Triage. Die Risikobewertung erfolgt auf Basis der OWASP-Risikobewertungsmethodik.

Aufgrund aktueller Kapazitäten priorisieren wir Reports mit hoher Kritikalität und bemühen uns, innerhalb von 14 Werktagen zu bestätigen, ob der Befund valide ist. Bei Reports mit geringerer Kritikalität kann eine fundierte Rückmeldung bis zu drei Monate dauern. Wir halten dich über den Behebungsprozess auf dem Laufenden.

Verhaltensregeln und Bedingungen (Terms)

Veröffentliche deine Erkenntnisse nicht, bevor die Schwachstelle vollständig behoben wurde. Wir bitten dich, den Zeitpunkt einer Veröffentlichung mit uns abzustimmen (Coordinated Disclosure).
Vermeide Tests, die den Betrieb stören oder beeinträchtigen könnten. Denial-of-Service-Tests sind strikt untersagt.
Teste ausschließlich Systeme, die sich im Scope befinden. Systeme außerhalb des Scopes dürfen nicht untersucht werden.
Sobald du eine Schwachstelle nachgewiesen hast, stoppe die Untersuchung. Versuche nicht, die Lücke weiter auszunutzen oder tiefer in unsere Systeme einzudringen – melde uns den Befund stattdessen direkt.

Wie funktioniert es?

Ein Responsible-Disclosure-Programm lädt Sicherheitsforscher ein, unsere Anwendungen auf Schwachstellen zu testen. Wenn du eine Sicherheitslücke entdeckst und diese verantwortungsbewusst unter Einhaltung unserer Regeln meldest, kannst du möglicherweise eine Belohnung erhalten. Dieses Programm zielt darauf ab, die Zusammenarbeit zwischen Appinio und der Sicherheits-Community zu fördern, um die allgemeine Sicherheitslage von Appinio zu verbessern.
Der Geltungsbereich dieses Programms umfasst die folgenden Domains:
- research.appinio.com
Die folgenden Schwachstellen sind ausdrücklich außerhalb des Geltungsbereichs und berechtigen nicht zum Erhalt von Bug-Bounties.
- Denial-of-Service (DoS)-Angriffe
- E-Mail-bezogene Schwachstellen (z. B. Fehlkonfigurationen von SPF, DKIM, DMARC)
- Social Engineering
- OSINT-bezogene Ergebnisse, wie z. B. durchgesickerte Anmeldeinformationen (Leaked Credentials)
Um eine Schwachstelle zu melden, sende bitte eine E-Mail an vulnerability-reports@appinio.com. Deine Meldung sollte die folgenden Informationen enthalten:
- Eine klare und prägnante Beschreibung der Schwachstelle, inkl. der potenziellen Auswirkungen.
- Schritte zur Reproduktion der Schwachstelle.
- Die betroffene URL.
- Jegliches unterstützendes Material (z. B. Screenshots, Proof-of-Concept-Code).
Wir bestätigen den Eingang deiner Meldung so schnell wie möglich und beginnen mit der Priorisierung deiner Meldung unmittelbar nach deren Eingang. Unser Ziel ist es, dir innerhalb einer Woche eine Bestätigung darüber zu geben, ob wir deine Meldung als gültig erachten und eine Prämie am Ende des Prozesses zu vergeben, und wir bemühen uns, dich während des gesamten Entwicklungsprozesses der Behebung regelmäßig auf dem Laufenden zu halten. Prämien werden ausgezahlt, nachdem eine Lösung für die gemeldete Schwachstelle entwickelt wurde.
Wir bitten dich, deine Erkenntnisse niemandem mitzuteilen, bis die Schwachstelle behoben wurde. Bitte beachte, dass du keine Prämie erhältst, wenn du deine Erkenntnisse öffentlich machst, bevor wir sie beheben können.

Vermeide störende Tests, die zu Störungen in unseren Systemen führen könnten. Denial-of-Service-Schwachstellen gelten als außerhalb des Geltungsbereichs und werden nicht mit einer Prämie ausgezeichnet.

Du darfst nur die Systeme testen, die im Geltungsbereich dieses Bug-Bounty-Programms liegen. Bitte teste keine Systeme außerhalb des Geltungsbereichs dieses Programms.

Sobald du bestätigt hast, dass du eine Schwachstelle gefunden hast, bitten wir dich, keine weiteren Exploits zu versuchen, sondern uns diese stattdessen sofort zu melden.

Bitte stelle sicher, dass deine Meldung alle relevanten Informationen enthält, um deine Erkenntnisse zu überprüfen. Dies wird uns helfen, deine Meldung schnell zu priorisieren und zu einer schnelleren Auszahlung deiner Prämie führen.