Vulnerability Disclosure Program

Einführung

Die Sicherheit unserer Kunden und unserer Systeme hat für uns höchste Priorität. Wir bei creoline arbeiten kontinuierlich daran, unsere öffentlichen und internen Systeme abzusichern und zu verbessern.

Sollten Sie eine Schwachstelle entdecken, freuen wir uns, wenn Sie diese verantwortungsvoll an uns melden. Ihre Unterstützung hilft uns, die Sicherheit und Integrität unserer Dienste aufrechtzuerhalten.



Unser Versprechen

  • Wir werden eingereichte Berichte zeitnah prüfen und bestätigen.
  • Wir werden uns bemühen, Schwachstellen so schnell wie möglich zu beheben.
  • Wir behandeln Ihre Meldung vertraulich und erkennen Ihre Bemühungen an.
  • Wir verzichten auf rechtliche Schritte gegen Personen, die Schwachstellen in Übereinstimmung mit diesem Programm melden.



Was wir erwarten

  • Geben Sie uns genügend Zeit, die gemeldete Schwachstelle zu analysieren und geeignete Maßnahmen zu ergreifen.
  • Veröffentlichen Sie keine Details zur Schwachstelle, bevor wir sie behoben haben ("Coordinated Disclosure").
  • Vermeiden Sie Aktivitäten, die:
    • den Zugriff auf Daten Dritter ermöglichen,
    • die Verfügbarkeit unserer Dienste beeinträchtigen (z. B. durch DDoS),
    • den Betrieb unserer Systeme stören.



Geltungsbereich

Unser Programm deckt Schwachstellen ab, die sich auf die Sicherheit der folgenden Systeme auswirken:

  • Öffentliche Webseiten und APIs der creoline GmbH
    • www.creoline.com
    • account.creoline.com
    • api.creoline.com
    • ip.creoline.com
    • secret.creoline.com
  • Kundenportale und Verwaltungssysteme
  • Interne administrative Systeme (sofern aus dem Internet erreichbar)
  • Infrastruktur und Hosting-Dienste
  • SAML / OAuth2.0 Authentifizierungsanwendungen



Ausgeschlossen vom Programm

Bitte beachten Sie, dass die folgenden Punkte vom Programm ausgeschlossen sind:

  • Social Engineering, Phishing oder physische Angriffe
  • Denial-of-Service-Angriffe (DoS, DDoS)
  • Schwachstellen, die auf veralteten Browsern oder Plugins basieren
  • Brute-Force-Angriffe auf Passwörter
  • Externe SaaS-Dienste



Belohnungen (Bug Bounty)

Um Ihre Bemühungen zu würdigen, bieten wir für qualifizierte Schwachstellen finanzielle Belohnungen an.\nDie Höhe der Belohnung richtet sich nach der Schwere (Severity) der Schwachstelle, ihrer Ausnutzbarkeit und ihrem potenziellen Einfluss.

Schweregrade und Belohnungen:

Schweregrad Belohnungsspanne
Low bis 100 €
Medium 100 € – 500 €
High 500 € – 2.000 €
Critical 2.000 € – 5.000 €

Die genaue Höhe der Belohnung legen wir auf Basis folgender Kriterien fest:

  • Technische Ausnutzbarkeit
  • Auswirkungen auf Datenschutz und Systemsicherheit
  • Qualität und Vollständigkeit des Berichts

Voraussetzungen für eine Belohnung

  • Der Bericht muss vollständig und reproduzierbar sein.
  • Die Schwachstelle muss sich im definierten Geltungsbereich befinden.
  • Die Schwachstelle darf nicht öffentlich bekannt oder bereits intern entdeckt worden sein.

Auszahlung

Belohnungen werden über PayPal oder SEPA-Banküberweisung ausgezahlt.\nBitte stellen Sie sicher, dass Sie bei Ihrer Einreichung eine geeignete Zahlungsmethode angeben.

Hinweis: Anonyme Meldungen sind möglich, eine Auszahlung kann jedoch nur bei Angabe der erforderlichen Zahlungsinformationen erfolgen.



Wie Sie eine Schwachstelle melden

Bitte melden Sie Schwachstellen ausschließlich über unsere HackerOne-Seite:

👉 Meldung über HackerOne einreichen

Je detaillierter Ihr Bericht (inklusive Schritte zur Reproduktion, Screenshots, ggf. Proof-of-Concept), desto schneller können wir reagieren.



Anerkennung

Wir schätzen Ihre Unterstützung sehr und erkennen Beiträge, die zu einer Verbesserung unserer Sicherheit führen, im Rahmen unseres Anerkennungsprogramms an. Details dazu finden Sie auf unserer HackerOne-Programseite.