Richtlinie zur verantwortungsvollen Offenlegung

RICHTLINIE ZUR VERANTWORTUNGSVOLLEN OFFENLEGUNG

Datum des Inkrafttretens: 18. Juni 2025

Zuletzt aktualisiert: 18. Juni 2025

Bei Addverb Technologies Private Limited, einschließlich ihrer Tochtergesellschaften („ Addverb ”), wir nehmen Sicherheit ernst. Wir sind uns der wertvollen Rolle unabhängiger Sicherheitsforscher bewusst, die uns dabei helfen, höchste Standards der Cybersicherheit einzuhalten. Diese Richtlinie zur verantwortungsvollen Offenlegung („Richtlinie“) beschreibt den Prozess, mit dem Sicherheitsforscher potenzielle Sicherheitslücken melden können in Addverb Gehen Sie mit den digitalen Vermögenswerten von auf rechtmäßige, verantwortungsvolle und ethische Weise um.

Durch die Befolgung dieser Richtlinie können Sicherheitsforscher zur allgemeinen Sicherheit und Belastbarkeit unserer Systeme beitragen und gleichzeitig sicherstellen, dass sie vor rechtlichen Schritten geschützt bleiben, sofern sie die hierin festgelegten Bedingungen strikt einhalten.

Geltungsbereich der Richtlinie

Diese Richtlinie gilt für addverb .com und seine Subdomains, betrieben oder verwaltet von Addverb die ausdrücklich unter öffentlich zugängliche Domänen fallen.

Diese Richtlinie berechtigt nicht:

Jeglicher Zugriff auf Systeme, der über den vorgesehenen Umfang hinausgeht.

Testen auf nicht öffentlichen oder Drittanbieter-Assets.

Verstoß gegen geltendes Recht.

Im Sinne dieser Richtlinie bezeichnet „Sicherheitsforscher“ jede Person oder Organisation, die in gutem Glauben interagiert mit Addverb Systeme, Dienste oder Produkte von , ausschließlich zum Zweck der Meldung einer Sicherheitslücke gemäß dieser Richtlinie. Dies umfasst ethische Hacker, unabhängige Forscher, Bug-Bounty-Hunter und alle anderen Parteien, die solche Berichte einreichen.

Prozess der verantwortungsvollen Offenlegung

Wir bitten alle Sicherheitsforscher:

Handeln Sie nach Treu und Glauben und im Rahmen des Gesetzes.

Vermeiden Sie alle Handlungen, die zu Schäden, Störungen oder Verlusten führen könnten Addverb oder seinen Kunden.

Stellen Sie einen ausführlichen Bericht bereit, der die Schritte zur Reproduktion des Problems, die möglichen Auswirkungen und die empfohlene Abhilfe enthält.

Geben Sie die Sicherheitslücke weder der Öffentlichkeit noch Dritten bekannt, bis Addverb erteilt im Voraus eine ausdrückliche schriftliche Genehmigung.

Berichterstattung

Um eine Sicherheitslücke zu melden, senden Sie uns bitte eine E-Mail an addverb

Ihr Bericht sollte Folgendes enthalten:

Eine klare Beschreibung der Sicherheitslücke.

Datum und Uhrzeit der Entdeckung.

Angenommene Auswirkungen

Betroffene Dienste oder URLs.

Schritt-für-Schritt-Anleitung zum Reproduzieren des Problems.

Alle relevanten Screenshots, Protokolle oder Proof-of-Concept-Codes.

Empfohlene Lösung

Addverb Wir bestätigen den Eingang innerhalb von 7 Werktagen und sind bestrebt, berechtigte Probleme innerhalb eines technisch angemessenen Zeitrahmens zu beurteilen und zu lösen. Addverb kann sich dafür entscheiden, Einreichungen von Parteien zu ignorieren, die eine große Menge an Berichten von geringer Qualität einreichen.

Ausschlüsse

Sicherheitslücken, die keine Auswirkungen auf die Sicherheit haben, werden als außerhalb des Geltungsbereichs dieses Programms liegend betrachtet.

Schwachstellen in Bezug auf SPF/DMARC/DKIM-Einträge ohne überprüfbaren Spoofing-Nachweis

Best-Practice-Bedenken wie Nicht-Sitzungscookies, die nicht als sicher gekennzeichnet sind und nur HTTP verwenden, SSL/TLS-Konfiguration, fehlende Sicherheitsheader usw.

Von automatisierten Tools und Scannern gemeldete Schwachstellen ohne zusätzlichen Proof of Concept

Denial-of-Service- (DoS) und Distributed-Denial-of-Service- (DDoS) Angriffe

Spam, Brute-Force-Angriffe oder Tests mit personenbezogenen Daten.

Exploits, die physischen Zugriff auf das Gerät des Opfers erfordern

Host-Header-Injektion

Bisher bekannte anfällige Bibliotheken ohne funktionierenden Proof of Concept

Jegliche Art von Spoofing-Angriffen oder Angriffen, die zu Phishing führen (z. B. E-Mail-Spoofing, Erfassen von Anmeldeinformationen mit einer gefälschten Anmeldeseite)

Bugs, die eine äußerst unwahrscheinliche Benutzerinteraktion erfordern, d. h. Social-Engineering-Angriffe, sowohl gegen Benutzer als auch Addverb insbesondere die Mitarbeiter.

Offenlegung von API-Schlüsseln Dritter ohne Auswirkungen oder solche, die eigentlich öffentlich zugänglich sein sollten. Insbesondere offengelegte Google Map API-Schlüssel und Schlüssel in Android-XML-Dateien.

OPTIONEN / TRACE HTTP-Methoden aktiviert

Bekannte öffentliche Dateien oder Verzeichnisse (z. B. robots.txt, CSS/Bilder usw.)

Vorhandensein der Funktion „Autovervollständigung“ oder „Passwort speichern“ in Anwendungen oder Webbrowsern

Alle Arten von Schwachstellen, die die Installation von Software wie Webbrowser-Add-Ons usw. auf dem Computer des Opfers erfordern

Brute Force auf Formularen (zB Newsletter / Kontaktseite)

Fehlende Best Practices in der Content Security Policy.

Fehlende SSL- und CAA-Header

Funktionale, UI- und UX-Fehler und Rechtschreibfehler.

Verstöße gegen die oben aufgeführten Ausschlüsse können zum Ausschluss vom Safe-Harbor-Schutz und möglichen rechtlichen Schritten führen.

Keine Belohnungen

Für die Meldung von Schwachstellen wird keine finanzielle Entschädigung angeboten oder gewährt. Diese Richtlinie soll weder Penetrationstests, Scans noch Hacking-Versuche gegen Addverb Ziel ist es, die Informationstechnologie-Infrastruktur des Unternehmens zu schützen, sondern vielmehr einen verantwortungsvollen und sicheren Rahmen bereitzustellen, in dem legitime Offenlegungen von Sicherheitslücken kommuniziert und behoben werden können.

Addverb behält sich das Recht vor, jede Einreichung von Fall zu Fall zu bewerten. Nach eigenem Ermessen Addverb kann sich dafür entscheiden, nicht-monetäre Gesten der Wertschätzung zu leisten, wie etwa eine öffentliche Anerkennung oder ein Anerkennungsschreiben, vorbehaltlich einer gegenseitigen Vereinbarung und nur, wenn der Sicherheitsforscher alle Bedingungen dieser Richtlinie eingehalten hat.

Wichtige Punkte

Nutzen Sie keine Schwachstelle über das zum Nachweis ihrer Existenz erforderliche Maß hinaus aus.

Greifen Sie nicht auf Daten zu, die Ihnen nicht gehören, kopieren Sie sie nicht, laden Sie sie nicht herunter und manipulieren Sie sie nicht.

Unterbrechen Sie während des Tests keine System- oder Dienstverfügbarkeit.

Versuchen Sie nicht, Zugriff auf die Konten oder Anmeldeinformationen anderer Benutzer zu erhalten.

Alle Aktivitäten müssen innerhalb des in dieser Richtlinie festgelegten Rahmens und innerhalb der festgelegten Grenzen bleiben.

Entschädigung

Mit der Übermittlung eines Schwachstellenberichts gemäß dieser Richtlinie verpflichtet sich der Sicherheitsforscher, Addverb , seine verbundenen Unternehmen, leitenden Angestellten, Direktoren, Mitarbeiter und Vertreter von und gegen sämtliche Ansprüche, Schäden, Verbindlichkeiten, Verluste, Kosten und Ausgaben (einschließlich Anwaltskosten), die sich aus dem Verhalten, den Handlungen oder Unterlassungen des Sicherheitsforschers ergeben oder damit in Zusammenhang stehen, die gegen die Bedingungen dieser Richtlinie verstoßen, gegen geltende Gesetze verstoßen oder Schaden verursachen für Addverb oder Dritten.

Rechtliche Hinweise und Haftungsausschluss

Addverb behält sich im Falle einer Nichteinhaltung dieser Richtlinie alle gesetzlichen Rechte vor, einschließlich des Rechts, gemäß den geltenden Gesetzen und der entsprechenden internationalen Gesetzgebung ein Straf- oder Zivilverfahren einzuleiten.

Diese Richtlinie gewährt keine Lizenz (ausdrücklich oder implizit) für den Zugriff Addverb 's-Systeme oder um Sicherheitstests durchzuführen. Addverb behält sich das Recht vor, diese Richtlinie jederzeit und ohne Vorankündigung zu ändern oder zurückzuziehen. Durch die Teilnahme entsteht kein Vertragsverhältnis zwischen Addverb und Sicherheitsforscher.

Kontaktieren Sie uns

Alle Fragen, Kommentare oder Schwachstellenberichte im Rahmen dieser Richtlinie sollten an infosec@ addverb gerichtet werden.