Responsible Disclosure

Hinweis: Diese Seite ist zur Meldung technischer Schwachstellen in unseren Websites gedacht. Als Kunde mit einem pers?nlichen Sicherheitsproblem, wie einem gehackten Account, Fragen zur Rechnungsstellung, etc. wenden Sie sich bitte an unseren Kundenservice.
Als gr??ter deutscher Mobilfunkanbieter nach Kundenzahlen ist es unsere Verantwortung und eigener Anspruch, unsere Kunden, Produkte und Kan?le vor digitalen Bedrohungen zu schützen. Obwohl wir gro?e Anstrengungen unternehmen, um die Sicherheit unserer Systeme und Produkte zu gew?hrleisten, stetig zu verbessern und weiterzuentwickeln, kann es vorkommen, dass Schwachstellen darin verbleiben oder durch neue Angriffsmechanismen entstehen. Sollten Sie eine Schwachstelle in einem unserer Systeme feststellen, m?chten wir Ihnen mit unserem Responsible Disclosure Programm die M?glichkeit bieten, uns diese Sicherheitslücke zu melden. Die Teilnahme am Programm ist der ?ffentlichkeit m?glich und kann anonym erfolgen. Derzeit wird die Einreichung von Sicherheitslücken nicht vergütet, eine zukünftige Pr?mierung von Schwachstellenfunden ist jedoch nicht ausgeschlossen. Ausgeschlossen von einer etwaigen Pr?mierung sind gesetzliche Vertreter, aktuelle und ehemalige Mitarbeiter der Telefónica Germany GmbH & Co. OHG und deren verbundenen Unternehmen sowie deren Mitarbeiter. Minderj?hrigen ist die Teilnahme nur mit Zustimmung eines gesetzlichen Vertreters gestattet.

Was wir unter Responsible Disclosure verstehen

Der Begriff "Responsible Disclosure" bezeichnet die verantwortungsvolle Offenlegung entdeckter Sicherheitslücken. Für uns bedeutet das
-Sie geben uns ausreichend Zeit, auf Ihren Hinweis zu reagieren und die Schwachstelle zu beheben. In dieser Zeit machen Sie das Problem nicht ?ffentlich bekannt.
-Bei der Prüfung unserer Systeme auf Schwachstellen unternehmen Sie alle Bemühungen Produkte, Dienste und Infrastruktur nicht zu besch?digen oder in ihrer Verfügbarkeit einzuschr?nken.
-Sie nutzen eine gefundene Schwachstelle nicht aus, um mehr Daten zu erlangen als zum Nachweis der Sicherheitslücke notwendig. Sie nutzen die Schwachstelle nicht aus, um Daten Dritter zu erlangen, auszusp?hen, zu ver?ndern, zu l?schen oder weiter zu geben.
-Nach Meldung der Sicherheitslücke l?schen sie s?mtliche personenbezogenen oder vertraulichen Daten, die im Rahmen der Tests in Ihren Besitz gelangt sind.
-Wir behandeln Ihre Meldung vertraulich und teilen Ihre personenbezogenen Informationen nicht ohne Ihre Zustimmung mit Dritten, sofern dies nicht zur Erfüllung gesetzlicher Pflichten oder aufgrund eines Gerichtsurteils vorgeschrieben ist. Alle von Ihnen mitgeteilten Daten werden ausschlie?lich zur Behebung der gemeldeten Sicherheitslücke verwendet und werden 30 Tage nach Bearbeitung gel?scht. Weitere Informationen zum Umgang mit Ihren personenbezogenen Daten finden Sie unter www.emwyllie.com/datenschutz, respektive im Datenschutzbereich der einzelnen Portale.
-In Einklang mit den beschriebenen Bedingungen und im Einklang des Programms durchgeführte Testaktivit?ten und Meldungen werden wir nicht rechtlich verfolgen.

Explizit ausgeschlossene Systeme

Unerlaubte Tests und Schwachstellen au?erhalb des Fokus

Generell sind wir für die Meldung aller gemeldeten Schwachstellen dankbar, einige Schwachstellen sind im Rahmen des Programms allerdings nicht im Fokus. Diese sollten nicht gemeldet werden.
-CSRF auf nicht kritische Aktionen (z.B. Logout)
-Für tats?chliche Angriffe ungeeignete Cross Site Scripting (XSS) Schwachstellen (z.B. ?Self XSS“)
-Fehlende Cookie Flags bei nicht sicherheitskritischen Cookies (z.B. Tracking Cookies)
-Fehlende HTTP-Header (z.B. X-Content-Type), wenn diese kein ausnutzbares Sicherheitsrisiko darstellen
-Fehlende HSTS Policies (Server erzwingt keine HTTPS Verbindung)
-Nicht aufbereitete Ergebnisse automatisierter Scanner Tools
-Clickjacking Schwachstellen ohne PoC Code, welcher einen Angriff demonstriert
-Information Disclosure Schwachstellen ohne Sicherheitsrelevanz (z.B. Versionsinformationen für nicht angreifbare Softwarekomponenten, Versionsinformationen in JavaScript Dateien)
-Schwachstellen bezüglich sogenannter ?weak cipher“
-Schwachstellen in 3rd Party Systemen (jegliche Systeme oder Services die nicht von Telefónica betrieben werden)
Die folgenden Testmethoden sind explizit nicht vom Programm abgedeckt und durch Telefónica untersagt. Entsprechende Versuche k?nnen rechtlich geahndet werden.
-DoS/DDoS Versuche
-Social Engineering Versuche
-Spam, Phishing, Spear Phishing oder ?hnliche massenhafte Kommunikation an Mitarbeiter, Kunden, Partner, etc.
-Angriffe über Support-Kan?le wie Chat, Telefonkontakt, E-Mail
-Missbrauch von Daten oder Accounts Dritter
Dieses Formular ist für die Verwendung mit Google Chrome und Mozilla Firefox optimiert. Bei der Verwendung anderer Browser kann es zu Problemen bei der Darstellung kommen.
92午夜免费福利757-丝袜美腿