Sicherheitslücken schließen

Wir sind luca.
Gemeinsam Sicherheitslücken schließen.

luca hat ein eigenes Bug Bounty Programm, um das luca System noch sicherer zu machen.
Der Begriff “Bug Bounty” kommt aus dem Englischen und bezieht sich auf die Belohnung von gemeldeten Fehlern in Anwendungen.
Im Rahmen der luca Bug Bounty Initiative sind Sicherheitslücken in Webportalen und Apps des luca Systems relevant. In Bezug auf Webportale sind folgende Domains und deren Subdomains relevant:
luca-app.de

Weitere Hinweise sind natürlich jederzeit willkommen, sind aber von einem Bounty ausgeschlossen.
Die luca Bug Bounty Initiative ist ein offenes Programm. Von der Teilnahme ausgeschlossen sind jedoch gesetzliche Vertreter, aktuelle und ehemalige Mitarbeiter von culture4life und deren Tochtergesellschaften sowie deren Angehörige. Minderjährige dürfen nur mit Zustimmung ihres gesetzlichen Vertreters teilnehmen.

Responsible Disclosure

Verantwortungsbewusste Offenlegung

Sicherheitslücken sollten immer verantwortungsvoll veröffentlicht werden. Darunter verstehen wir bei luca unter anderem Folgendes:

  • Wir haben genügend Zeit, um zu reagieren und den gemeldeten Fehler zu beheben. (min. 1 Woche)
  • Du hast dich bei den Sicherheitsüberprüfungen bemüht, die Verfügbarkeit des getesteten Services nicht zu gefährden.
  • Du hast keine Daten ausspioniert, verändert, heruntergeladen, gelöscht oder weitergegeben. Andernfalls besteht die Gefahr einer strafrechtlichen Relevanz.
  • Du hast Dritte nicht über die Sicherheitslücke informiert.
Einreichung

Wie kann ich melden?

Das luca Bounty Programm fokussiert sich auf Schwachstellen im Luca System d.h. WebApps, Apps und Endpunkte des Systems

Weitergehende Hinweise für andere Bereich wie z.B. Website sind natürlich erwünscht, allerdings nicht im Fokus des Bounty Programs

  • Schwachstellen können per email an security security@luca-app.de
  • Bitte nur eine Schwachstelle per email
  • Bzgl. der Auszahlung kommen wir nach der Auswertung der Schwachstelle auf euch zu
Bounty

Wie funktioniert das Bounty?

Um für eine Belohnung in Frage zu kommen, gilt Folgendes:

  • Die Schwachstelle darf der Öffentlichkeit noch nicht bekannt sein.
  • Es muss die erste Einreichung zu dieser Schwachstelle sein.
  • Die Responsible Disclosure Policy muss beachtet werden.
  • Für den Test dürfen echte Konten verwendet werden, der Zugriff auf Kontodaten Dritter ohne deren Zustimmung ist in jedem Fall zu unterlassen.
  • Die Schwachstelle muss ohne den Einsatz von Scanner-Tools gefunden worden sein.
  • Die Sicherheitslücke darf nicht auf einer veralteten Softwarekomponente eines Drittanbieters beruhen.
  • Eine Bug Bounty-Einreichung muss ein Beispiel (eindeutige Anfrage oder PoC-Code) und eine Beschreibung der Sicherheitslücke enthalten. Dazu gehören auch der verwendete Browser und ggf. die Browser-Einstellungen.
    Die Höhe des Bounty richtet sich nach der Kritikalität des Bugs und dem verwundbaren Teil.