Paysera

Bug-Bounty-Programm

Unser Entwicklerteam arbeitet kontinuierlich daran, die Sicherheit der Kundendaten zu gewährleisten. Gleichzeitig sind wir uns der wichtigen Rolle bewusst, die Sicherheitsforscher und unsere Nutzergemeinschaft bei der Gewährleistung der Sicherheit von Kundendaten spielen. Wenn Sie eine Schwachstelle auf einer Website oder in einem Produkt entdecken, benachrichtigen Sie uns bitte gemäß den folgenden Richtlinien.
#

Bug-Bounty-Programm

Programmbedingungen

Bitte beachten Sie, dass Ihre Teilnahme am Bug-Bounty-Programm freiwillig ist und den auf dieser Seite aufgeführten Bedingungen unterliegt. Durch die Meldung einer Website- oder Produktschwachstelle an Paysera bestätigen Sie, dass Sie die Bedingungen dieses Programms gelesen und akzeptiert haben.
Diese Programmbedingungen ergänzen die Bedingungen aller anderen Vereinbarungen, die Sie mit Paysera geschlossen haben. Im Falle von Widersprüchen zwischen den Bedingungen der Paysera-Vereinbarungen und diesen Programmbedingungen haben letztere ausschließlich in Bezug auf das Bug-Bounty-Programm Vorrang.

Richtlinien zur Meldung von Sicherheitsproblemen

Wenn Sie glauben, eine Sicherheitslücke in Paysera gefunden zu haben, melden Sie diese bitte per E-Mail an [email protected]. Bitte fügen Sie detaillierte Schritte zur Reproduktion des Problems und eine kurze Beschreibung der möglichen Auswirkungen bei. Wir befürworten eine verantwortungsvolle Offenlegung (wie unten beschrieben) und verpflichten uns, alle berechtigten Meldungen umgehend zu untersuchen und bestätigte Probleme so schnell wie möglich zu beheben.

Leistungen im Umfang

Jeder Paysera-Dienst, der sensible Benutzerdaten verarbeitet, fällt in diesen Bereich. Dazu gehören unter anderem praktisch alle Inhalte unter den folgenden Domains: *.paysera.com.

Richtlinie zur verantwortungsvollen Offenlegung

Die Sicherheit der Gelder, Daten und Kommunikation unserer Nutzer hat bei Paysera oberste Priorität. Um eine verantwortungsvolle Offenlegung zu fördern, werden wir keine rechtlichen Schritte gegen Forscher einleiten, die Schwachstellen identifizieren, sofern sie sich an die Grundsätze der verantwortungsvollen Offenlegung halten, darunter unter anderem die folgenden:

 

 Nur auf Ihre eigenen Kundendaten zugreifen, offenlegen oder ändern.

 Keine Angriffe durchführen, die die Zuverlässigkeit oder Integrität unserer Dienste oder Daten beeinträchtigen könnten.

 Scan-Techniken vermeiden, die zu einer Beeinträchtigung des Dienstes für andere Kunden führen können (DoS, Spamming).

 Halten Sie Details zu Sicherheitslücken stets geheim, bis Paysera benachrichtigt wurde und das Problem behoben hat.

 Nicht versuchen, Zugriff auf das Konto oder die Daten eines anderen Benutzers zu erlangen.

 

Bei der Suche nach Schwachstellen auf der Website von Paysera ist Folgendes strengstens untersagt:

 

 Maßnahmen zu ergreifen, die den Betrieb der Paysera-Systeme stören oder beeinträchtigen könnten;

 Zu versuchen, sich unabhängig oder über Dritte unrechtmäßig Zugang zu Daten von Paysera oder seinen Kunden zu verschaffen, diese zu kopieren, zu verbreiten oder zu vernichten;

 Kunden von Paysera zu schädigen, einschließlich der Störung der Dienstleistungserbringung, der Anwendung von Social-Engineering-Methoden oder des Versendens unerwünschter Nachrichten.

 

Wenn Sie diese Grundsätze nicht einhalten, kann Paysera Ihr Konto einschränken, Ihre IP-Adresse sperren und andere rechtliche Schritte einleiten.
Wir laden Sie ein, mit den Entwicklern von Paysera zusammenzuarbeiten, um das Problem zu reproduzieren, zu diagnostizieren und zu beheben. Wir verwenden die folgenden Richtlinien, um die Berechtigung von Anfragen und die Höhe der Belohnung zu bestimmen.
#
#

Teilnahmeberechtigung

Eine Person ist nicht zur Teilnahme am Bug-Bounty-Programm berechtigt, wenn sie:

 

 Gegen nationale oder lokale Gesetze verstoßen haben;

 Ein naher Familienangehöriger eines Mitarbeiters von Paysera, seinen Tochtergesellschaften oder Niederlassungen sind;

 Unter 14 Jahre alt sind. Wenn Sie mindestens 14 Jahre alt sind, aber an Ihrem Wohnort als minderjährig gelten, müssen Sie vor der Teilnahme am Programm eine von Ihren Eltern oder Erziehungsberechtigten unterzeichnete Einverständniserklärung vorlegen.
 

Wenn Paysera feststellt, dass Sie eines der oben genannten Kriterien nicht erfüllen, wird Paysera Sie aus dem Bug-Bounty-Programm entfernen und Sie von der Zahlung von Prämien ausschließen.

Höhe der Belohnung

Die Belohnungen werden entsprechend der Schwere der Sicherheitslücke gewährt. Je schwerwiegender die Sicherheitslücke ist, desto höher ist die Belohnung für die Meldung. Sicherheitslücken, die zu finanziellen Verlusten oder einer Gefährdung der Datensicherheit führen können, gelten als besonders kritisch.

Für Schwachstellen, die nicht zu den folgenden Ergebnissen führen, wird eine geringere Belohnung gewährt:

 Teilweiser/vollständiger Verlust von Geldern;

 Leckage von Benutzerdaten;

 Beeinträchtigung der Integrität der Datenübertragung.

 In allen Fällen sind Informationen über Systemschwachstellen vertraulich zu behandeln, bis Paysera benachrichtigt und das Problem behoben wurde.

 Versuchen Sie nicht, Zugriff auf das Konto oder die Daten eines anderen Benutzers zu erlangen.

 

Um für eine Belohnung in Frage zu kommen, muss eine Sicherheitslücke die folgenden Kriterien erfüllen:

 Muss originell und bisher unveröffentlicht sein;

 Demonstrieren Sie eine Schwachstelle im Remote-System, die Möglichkeit zur Ausweitung von Berechtigungen oder das Risiko der Offenlegung vertraulicher Informationen.

 

Wenn mehrere Personen gleichzeitig dieselbe Sicherheitslücke melden, wird die Belohnung proportional unter ihnen aufgeteilt.
In den folgenden Fällen kann eine höhere Belohnung gewährt werden:

 Der Forscher kann neue Arten von Angriffen oder Techniken zur Umgehung von Sicherheitsfunktionen aufzeigen. Oder wenn durch zusätzliche Untersuchungen des Meldenden nachgewiesen werden kann, dass eine bestehende Schwachstelle ausgenutzt werden kann, kann für denselben Fehler eine zusätzliche Vergütung gezahlt werden.

 Die Forschung könnte auch äußerst schwerwiegende, komplexe oder interessante Problembereiche aufdecken, die zuvor nicht gemeldet wurden oder unbekannt waren.


Wenn ein Bericht alle Anforderungen des Programms erfüllt, werden die Prämienzahlungen von Paysera nach eigenem Ermessen festgelegt. Paysera ist in keinem Fall verpflichtet, eine Prämie für Meldungen zu zahlen, die nicht in den Geltungsbereich des Bug-Bounty-Programms fallen. Alle Prämienzahlungen können nur in Euro auf ein identifiziertes Paysera-Konto erfolgen. Die Prämie kann auf Wunsch des Forschers auch an Greenpeace, das Rote Kreuz oder Caritas-Organisationen überwiesen werden. Zahlungen über Kryptowährungen oder andere Zahlungssysteme, die nicht auf dieser Seite aufgeführt sind, werden nicht unterstützt.

Bei der Festlegung der Höhe der Belohnung bewertet Paysera das Risiko, das von der Sicherheitslücke ausgeht, sowie die potenziellen Auswirkungen, die sie haben kann.
#

Beispiele für Schwachstellen

Beispiele für qualifizierte Schwachstellen

Paysera behält sich das Recht vor, zu entscheiden, ob die Mindestschwelle für die Schwere der Qualifikation erreicht ist und ob sie bereits gemeldet wurde.

  • Umgehung der Authentifizierung oder Ausweitung von Berechtigungen.

  • „Clickjacking (wenn ein Benutzer dazu verleitet wird, auf versteckte oder getarnte Elemente einer Webseite zu klicken).

  • „Cross-Site-Scripting (XSS) (eine Sicherheitslücke, die das Einschleusen von zusätzlichem Code in eine vom Benutzer angezeigte Webseite ermöglicht)

  • Cross-Site-Request-Forgery (CSRF/XSRF)

  • Skripte mit gemischten Inhalten

  • Ausführung von Code auf Serverseite

  • Verletzung des Datenschutzes

  • Remote-Codeausführung

#

Erforderliche Informationen

Wenn Sie Informationen zu einer Sicherheitslücke übermitteln, geben Sie bitte Folgendes an:

 

 Vollständige Beschreibung der gemeldeten Sicherheitslücke, einschließlich Ausnutzbarkeit und Auswirkungen.

 Dokumentieren Sie alle Schritte, die erforderlich sind, um die Ausnutzung der Schwachstelle zu reproduzieren.

 Betroffene URL(s)/Anwendung(en) (auch wenn Sie uns einen Codeausschnitt/ein Video zur Verfügung gestellt haben).

 IPs, die während des Tests verwendet wurden.

 Geben Sie immer die Benutzer-ID an, die für den POC verwendet wird.

 Fügen Sie immer alle Dateien bei, die Sie hochladen wollten.

 Stellen Sie den vollständigen PoC bereit.

 Bitte speichern Sie alle Angriffsprotokolle und fügen Sie sie dem Bericht bei.


Das Fehlen eines der erforderlichen Elemente kann dazu führen, dass die Prämienzahlung zurückgehalten oder verzögert wird.
Melden Sie uns alle Sicherheitslücken per E-Mail an [email protected].
#

Hinweis!

Belohnungen können nicht an sanktionierte Personen oder Staatsangehörige von Ländern vergeben werden, die auf der Sanktionsliste stehen (Kuba, Iran, Nordkorea, Sudan, Syrien). Sie sind für alle Steuern verantwortlich, die aufgrund Ihres Wohnsitzlandes und Ihrer Staatsangehörigkeit anfallen. Lokale Gesetze können zusätzliche Einschränkungen auferlegen, die Sie daran hindern könnten, am Programm teilzunehmen.

 

Dieses Programm ist kein Wettbewerb, sondern eine experimentelle und freiwillige Prämieninitiative. Bitte beachten Sie, dass Paysera das Programm jederzeit beenden kann.

Häufig gestellte Fragen

Wir betrachten Schwachstellentests als einen wesentlichen Bestandteil der Sicherheitsforschung und erwarten, dass eingereichte Berichte ein glaubwürdiges Angriffsszenario enthalten, damit sie für eine Belohnung in Betracht gezogen werden können. Die Höhe der Belohnung richtet sich nach den potenziellen maximalen Auswirkungen der Schwachstelle. Das Prüfungsgremium kann die Belohnung anpassen, wenn neue Informationen bekannt werden, die die bewerteten Auswirkungen erheblich erhöhen (z. B. eine Kette von Fehlern oder ein überarbeitetes Angriffsszenario).
Bitte reichen Sie Ihren Bericht ein, sobald Sie ein potenzielles Sicherheitsproblem entdeckt haben. Das Gremium wird die maximale Auswirkung prüfen und die Belohnung entsprechend festlegen. Wir zahlen regelmäßig höhere Belohnungen für ansonsten gut geschriebene und nützliche Berichte, in denen der Berichterstatter die Auswirkungen eines bestimmten Fehlers nicht bemerkt oder nicht vollständig analysieren konnte.
Become a follower