Das Bug Bounty Programm der DZ BANK
DZ BANK AG – Bug Bounty Regeln
Die Sicherheit der Informationen und Vermögenswerte unserer Kunden hat für uns oberste Priorität. Obwohl unsere Spezialisten ununterbrochen an der Sicherheit unserer Systeme arbeiten, können Sicherheitslücken nie vollständig ausgeschlossen werden. Wir ermutigen deshalb alle, die glauben, eine Sicherheitslücke in unseren Systemen entdeckt zu haben, sofort zu handeln und ihre Erkenntnisse mit uns zu teilen. Da es sich bei der Suche nach Sicherheitslücken ggf. um eine Straftat handelt, bitten wir Sie allerdings, dabei die folgenden Regeln einzuhalten:
1 Geltungsbereich des Bug Bounty Programms
Zum aktuellen Zeitpunkt beschränkt sich das Bug Bounty Programm der DZ BANK AG auf die folgenden Websites:
- confirm.dzbank.de
- derifin.dzbank.de
- dialin.dzbank.de
- dz-haltung.dzbank.de
- dzbank.de
- dzbbvservice.dzbank.de
- finledger.dzbank.de
- geschaeftsbericht.dzbank.de
- guided-tour.dzbank.de
- halbjahresfinanzbericht.dzbank.de
- haltung.dzbank.de
- i-net.dzbank.de
- ingen.dzbank.de
- institutionelle.dzbank.de
- login.dzbank.de
- psd2-xs2a.dzbank.de
- rsp.support.dzbank.de
- searchapp.dzbank.de
- searchresult.dzbank.de
- wertewelt.dzbank.de
- https://dzeg.dzbank.de
Bitte beachten Sie, dass die Ausdehnung Ihrer Tätigkeiten auf Websites welche nicht in der obigen Liste enthalten sind, als rechtswidrig eingestuft und entsprechend geahndet werden kann.
2 Unsere Regeln
- Handeln Sie verantwortungsbewusst.
- Veröffentlichen Sie keine Sicherheitslücken, bevor diese von uns behoben wurden. Aufgrund interner Prozesse und der damit verbundenen Komplexität gilt dieses „Responsible Disclosure“ für mindestens 120 Tage.
- Die Auszahlung eines Bug Bounty erfolgt nur an die erste Person, welche die entsprechende Sicherheitslücke meldet.
- Bei Sicherheitslücken, welche auf der gleichen verwundbaren Software Version basieren, wird nur die höchst bewertete mit einem Bug Bounty versehen.
- Sicherheitslücken, welche nur durch die Nutzung eines veralteten Browser entstehen, berechtigen nicht zur Auszahlung einer Belohnung.
- Greifen Sie ausschließlich auf die für den Nachweis der Sicherheitslücke notwendigen Daten zu.
- Löschen oder Modifizieren Sie keine Daten.
- Unsere internen und externen Dienste dürfen nicht durch DDoS-Angriffe oder auf andere Art und Weise gestört, unterbrochen oder beeinträchtigt werden.
- Implementieren Sie keine Backdoors o.ä. Methoden um persistenten Zugriff zu erhalten.
- Geben Sie keine vertraulichen Informationen weiter, die Sie von der DZ BANK AG erhalten haben. Senden Sie keine Phishing-Mails an Dritte, einschließlich Mitarbeiter oder Partner der DZ BANK, und wenden Sie keine anderen Social-Engineering-Techniken an.
- Führen Sie keine Angriffe auf Basis von „Brute-Force“ oder „Fuzzing“ durch.
- Greifen Sie in keiner Weise unsere Endbenutzer an und handeln Sie nicht mit gestohlenen Benutzerdaten.
- Beschreiben Sie die gefundene Schwachstelle und die Schritte zu deren Reproduktion so exakt wie möglich, um uns eine umfassende Rekonstruktion zu ermöglichen und somit die Auszahlung der Belohnung zu beschleunigen.
- Sicherheitslücken, welche von einem (ehemaligen) Mitarbeiter der DZ BANK AG gemeldet werden, berechtigen nicht zur Auszahlung einer Belohnung.
3 Was uns interessiert im Bug Bounty Programm
Im Allgemeinen sind wir an Berichten über Sicherheitslücken interessiert, die es einem potentiellen Angreifer ermöglichen:
- nicht öffentliche Kundendaten einzusehen
- Daten, die nicht von ihm stammen, zu ändern oder zu löschen
- die Vertraulichkeit oder Integrität von Benutzerdaten oder die Privatsphäre der Benutzer direkt zu beeinträchtigen
Insbesondere sind wir an folgenden Schwachstellentypen interessiert:
- Cross-site request forgery (CSRF / XSRF)
- persistant Cross-Site-Scripting (XSS)
- XML external entity Injections (XXE)
- Authentication bypass / Unauthorized data access
- Encryption vulnerabilities
- Remote code execution
- SQL Injections
- Privilege escalation
4 Was für uns weniger relevant ist im Bug Bounty Programm
- Beschwerden über Services, Produkte und / oder Geräte der DZ BANK AG sowie deren Verbundunternehmen
- Fragen und Beschwerden bzgl. der Erreichbarkeit unserer Webservices
- Phishing-Mails oder Betrugsfälle
- Sämtliche Sicherheitslücken, ohne eine detaillierte Beschreibung der Angriffsmethodik oder einem Nachweis der Ausnutzbarkeit
- Automatische, von Scan-Tools generierte Reports
- Unsere Policies bzgl. SPF/DKIM/DMARC Records
- HTML-Character-Set-Fehlermeldungen wie bspw. “does not specify charset” oder “unrecognized charset”
- Das Fehlen von Secure/HTTP Only Flags bei nicht sensitiven Cookies
- Das Fehlen von HTTP Strict Transport Security (HSTS)
- Clickjacking oder das Fehlen von X-Frame-Options
- Cachebare HTTPS-Response-Pages auf unkritischen Seiten
- Einsatz von unsicheren SSL/TLS Ciphers
- Schwachstellen, welche nur Nutzer mit veralteten Browsern und reduzierten Sicherheitseinstellungen betreffen
5 So soll an uns berichtet werden
Bitte geben Sie im Falle einer Kontaktaufnahme die exakte Domain an, auf welcher Sie die Schwachstelle gefunden haben. Weiterhin bitten wir Sie, uns so viele Details wie möglich zur Reproduktion der Schwachstelle bereitzustellen, um uns die Analyse zu erleichtern und damit die Auszahlung der Belohnung zu beschleunigen.
Bitte Kommunizieren Sie mit uns über verschlüsselte E-Mails an „security@dzbank.de“, unter der Nutzung des PGP-Schlüssels, welchen Sie unter folgender URL anfordern können:
https://securemail.dzbank.de
Bitte beachten Sie, dass wir Ihre Daten im Zuge des Analyse-Prozesses speichern und verarbeiten. Geben Sie bitte in Ihrer Mail an, falls Sie eine anonyme Bearbeitung Ihres Reports wünschen. Beachten Sie allerdings, dass wir in diesem Fall keine Belohnung für Ihre Mühen auszahlen können.