Verantwortungsvolle Offenlegung

Sorgen Sie für Sicherheit und Transparenz durch verantwortungsvolle Offenlegung bei TeamRetro. Erfahren Sie mehr über unsere Richtlinien zur Meldung von Schwachstellen und zur Gewährleistung des Datenschutzes.

SSL-Sicherheit

Verantwortungsbewusste Offenlegung

Unsere Kunden vertrauen darauf, dass wir ihre Daten sicher und vertraulich behandeln. Wir nehmen das Thema Sicherheit sehr ernst und arbeiten kontinuierlich daran, dieses Vertrauen zu rechtfertigen. Möchten Sie uns etwas mitteilen? Bitte wenden Sie sich an uns unter security@teamretro.com

Verantwortungsvolle Offenlegung

Wir laden alle, die sich an die Grundsätze der verantwortungsvollen Offenlegung halten und unsere Richtlinien sowie Nutzungsbedingungen einhalten, dazu ein, an unserem Programm zur Offenlegung von Sicherheitslücken teilzunehmen. Bitte vermeiden Sie automatisierte Tests und führen Sie Sicherheitstests ausschließlich mit Ihren eigenen Daten durch. Bitte geben Sie keine Informationen zu den Sicherheitslücken weiter, bis wir diese behoben haben. Wir behalten uns vor, nach eigenem Ermessen eine Anerkennung für qualitativ hochwertige, aussagekräftige Meldungen zu gewähren, die ein echtes Sicherheitsrisiko aufzeigen.

Sie können Sicherheitslücken melden, indem Sie sich an security@teamretro.com wenden. Bitte fügen Sie einen Proof-of-Concept bei. Wir werden so schnell wie möglich auf Ihre Meldung reagieren und keine rechtlichen Schritte einleiten, sofern Sie die Regeln einhalten.

Umfang:

  • secure.teamretro.com

Ausschlüsse:

  • *.eu.TeamRetro.com
  • ww1.TeamRetro.com
  • ww2.TeamRetro.com
  • ww3.TeamRetro.com
  • www.teamretro.com
  • at.TeamRetro.com
  • help.teamretro.com
  • feedback.teamretro.com
  • mail.TeamRetro.com
  • status.TeamRetro.com
  • track.TeamRetro.com
  • games.teamretro.com
  • Icebreaker.TeamRetro.com
  • ideas.teamretro.com
  • planning-poker.teamretro.com
  • www-assets.TeamRetro.com

Folgende Sicherheitslücken werden akzeptiert:

  • Cross-Site-Scripting (XSS)
  • Offene Weiterleitung
  • Cross-Site Request Forgery (CSRF)
  • Einbindung von Befehlen/Dateien/URLs
  • Probleme bei der Authentifizierung
  • Codeausführung
  • Code- oder Datenbank-Injektionen

Dieses Programm zur Offenlegung von Sicherheitslücken umfasst NICHT:

  • Auflistung von Konten/E-Mail-Adressen
  • Denial-of-Service (DoS)
  • Angriffe, die die Zuverlässigkeit bzw. Integrität unseres Unternehmens beeinträchtigen könnten
  • Spam-Angriffe
  • Clickjacking auf Seiten ohne Authentifizierung und/oder sensible Statusänderungen
  • Warnungen vor gemischten Inhalten
  • Fehlendes DNSSEC
  • Inhaltsfälschung / Texteinfügung
  • Timing-Angriffe
  • Social Engineering
  • Phishing
  • Nicht sichere Cookies für nicht sensible Cookies oder Cookies von Drittanbietern
  • Sicherheitslücken, die eine äußerst unwahrscheinliche Benutzerinteraktion erfordern
  • Exploits, die physischen Zugriff auf den Computer eines Benutzers erfordern
  • Fehlende Sicherheits-Header, die nicht unmittelbar zu einer Sicherheitslücke führen
  • Fehlende Best Practices (wir benötigen einen Nachweis für eine Sicherheitslücke)
  • Berichte, die von automatisierten Scannern erstellt wurden, ohne dass deren Wirksamkeit nachgewiesen wurde
  • Fehlende Sicherheits-Header ohne nachgewiesenen Exploit
  • Probleme bei der SSL/TLS-Konfiguration ohne nachgewiesenen Exploit
  • Fehlende Ratenbegrenzung
  • Selbst-XSS (das Opfer muss den Code in die eigene Konsole einfügen)
  • Anmelden/Abmelden – CSRF
  • Sicherheitslücken, die veraltete oder nicht mehr unterstützte Browser erfordern
  • Doppelte Meldungen oder bereits bekannte Probleme

Einreichungsvoraussetzungen

Alle Berichte müssen die folgenden Angaben enthalten, andernfalls werden sie nicht geprüft:

  • Betroffene URL oder Endpunkt
  • Schritt-für-Schritt-Anleitung zur Nachbildung
  • Proof of Concept (Screenshots, Video oder Code)
  • Beschreibung der Auswirkungen auf die Sicherheit

Automatisierte Scans sind ohne vorherige schriftliche Genehmigung nicht gestattet. Alle Tests müssen manuell durchgeführt werden, und alle Einzelheiten des Programms zur Offenlegung von Sicherheitslücken müssen vertraulich behandelt werden.

Unser Dank gilt den folgenden Sicherheitsforschern:

  • Abin Joseph
  • daniel_v
  • Ananda Dhakal
  • Luiz Viana
  • Aman Gupta
  • Vipul Sahu
  • Hsu Myat Noe
  • Tomasz Bartoszewski
  • Harry Gertos
  • Sathwik Veeramaneni
  • Yassine Nafiai
  • SIDN SOC
  • Burhan Chhotaudepur
  • Faizan Nehal
  • Aaditya Kumar Sharma
  • Syed Ahsan Raza
  • Mohammed Eldawody
  • Yaniv Shoshani
  • Lucas Werkmeister
  • Ankit Rathva