Bei ActorDo, verpflichten wir uns, das höchste Maß an Sicherheit, Integrität und Vertrauen für unsere Nutzer, Partner und Systeme aufrechtzuerhalten.

Mehr über Actor erfahren Datensicherheit und Datenschutzerklärung

Unser Programm zur Offenlegung von Sicherheitslücken (VDP) ist darauf ausgelegt, Sicherheitsforschern, ethischen Hackern und der Gemeinschaft einen klaren, sicheren und verantwortungsvollen Weg zu bieten, Sicherheitslücken in unseren Produkten und Diensten zu melden.

Dieses Programm fördert Zusammenarbeit und verantwortungsvolle Offenlegung, sodass wir Risiken erkennen, beheben und minimieren können, bevor sie ausgenutzt werden.

Geltungsbereich

Zum Geltungsbereich gehörende Systeme/Assets umfassen (aber nicht darauf beschränkt):

  • ActorDo-Webanwendungen und APIs
  • Backend-Services, Microservices und Cloud-Infrastruktur
  • Interne Systeme, soweit vorab genehmigt (siehe Kontakt)

Außerhalb des Geltungsbereichs liegende Systeme/Assets umfassen:

  • Dienste, Integrationen oder Abhängigkeiten Dritter, die nicht von ActorDo entwickelt wurden
  • Physische Angriffe / Hardware (z. B. Rechenzentren, Geräte, sofern nicht ausdrücklich autorisiert)
  • Social Engineering, Phishing oder Identitätsvortäuschung (sofern nicht schriftlich ausdrücklich autorisiert)
  • Fehler ohne Sicherheitsrelevanz oder Funktionswünsche
  • Jegliche Tests, die zu Dienstunterbrechungen oder DoS führen könnten

Um in Frage zu kommen, sollte die Sicherheitslücke:

  • Vorhanden sein in der neueste öffentlich veröffentlichte Version (oder offiziell veröffentlichte Beta)
  • Führen zu einer Sicherheitsauswirkung (z. B. Datenleck, Privilegienerweiterung, Remote-Code-Ausführung, Umgehung von Kontrollen)

Richtlinien & Vorgehensregeln

Wenn Sie teilnehmen, befolgen Sie bitte diese Regeln, um Anspruch auf Anerkennung oder Belohnungen zu behalten:

  1. Keinem Schaden zufügen
    • Löschen oder Ändern von Daten sowie das Unterbrechen des Normalbetriebs sind untersagt.
    • Vermeiden Sie störende Aktionen (z. B. das Starten von DDoS-Angriffen oder das Herbeiführen von Dienstbeeinträchtigungen).
  2. Beschränken Sie Ihre Prüfungen
    • Versuchen Sie nicht, auf nicht öffentliche Daten zuzugreifen oder diese zu manipulieren, außer soweit dies unbedingt erforderlich ist, um die Schwachstelle zu demonstrieren.
    • Verwenden Sie, wenn möglich, eine Testumgebung oder ein Nicht-Produktionskonto.
  3. Vertraulichkeit
    • Geben Sie Ergebnisse nicht öffentlich bekannt (Blogs, soziale Medien usw.), bevor ActorDo ausreichend Zeit hatte zu reagieren und Abhilfemaßnahmen zu ergreifen (siehe „Offenlegungszeitplan“).
    • Geben Sie die Informationen nicht an Dritte weiter und verkaufen Sie sie nicht.
  4. Kein Social Engineering
    • Phishing, Identitätsvortäuschung oder ähnliche Techniken sind außerhalb des Umfangs, es sei denn, sie sind ausdrücklich erlaubt.
  5. Respektieren Sie Datenschutz- und rechtliche Einschränkungen
    • Verstoßen Sie nicht gegen Datenschutzgesetze und greifen Sie nicht auf sensible personenbezogene Daten zu, die über das zur Demonstration des Fehlers notwendige Maß hinausgehen.
    • Halten Sie sich an geltende lokale Gesetze, Vorschriften und bewährte Verfahren.
  6. Offenlegung & Koordination
    • Geben Sie uns Zeit (in der Regel 90 Tage), das Problem zu beheben, bevor es öffentlich bekannt gegeben wird, sofern nicht anders vereinbart.
    • Wenn Sie der Meinung sind, dass eine frühere Offenlegung gerechtfertigt ist (z. B. bei Exploit-Risiko), benachrichtigen Sie uns bitte, damit wir einen verkürzten Zeitplan koordinieren können.

Verstöße gegen diese Regeln (z. B. zerstörerische Aktionen, öffentliche Offenlegung ohne Abstimmung) können dazu führen, dass eine Meldung nicht für eine Belohnung oder öffentliche Anerkennung infrage kommt.

Meldung einer Schwachstelle

Was Sie in Ihrer Meldung angeben sollten

Senden Sie Ihren Bericht an alex@actordo.com und fügen Sie hinzu:

  • Eine kurze Beschreibung des Problems
  • Schritte zur Reproduzierung oder Proof-of-Concept
  • Betroffenes System oder URL
  • (Optional) Ihr Name oder Ihr Handle für eine Anerkennung

Wir bestätigen den Eingang Ihres Berichts innerhalb von 5 Arbeitstage und halten Sie über die Behebung auf dem Laufenden. Nicht jede Meldung wird bestätigt, wenn sie als ungültig eingestuft wird.

Bitte geben Sie in Ihrer Meldung an, ob Sie anonym bleiben oder öffentlich genannt werden möchten.

Anerkennung & Belohnungen

  • Wir können je nach Auswirkung und Klarheit Dankesprämien oder öffentliche Anerkennung anbieten.
  • Prämien liegen im Ermessen und hängen von der Schwere und Qualität des Berichts ab.
  • Duplikate oder Befunde mit geringer Auswirkung sind möglicherweise nicht berechtigt.

Safe-Harbor

Wenn Sie diese Richtlinie in gutem Glauben befolgen, sind Sie vor rechtlichen Schritten geschützt im Zusammenhang mit Ihrer Forschung.

Danke, dass Sie uns helfen, ActorDo sicher zu halten.