Responsible Disclosure Statement

See English Version below

Bei der Deutschen Postcode Lotterie hat die Sicherheit unserer Systeme oberste Priorität. Egal, wie viel Aufwand wir in die Systemsicherheit stecken, so könnte es dennoch Schwachstellen geben. Wenn Sie eine Sicherheitslücke entdecken, möchten wir darüber Bescheid wissen, um entsprechende Maßnahmen ergreifen zu können. Wir möchten Sie daher bitten, uns beim Schutz unserer Teilnehmer und unserer Systeme zu helfen.

Senden Sie Ihre Ergebnisse bitte über folgende URL ein:https://app.zerocopter.com/de/rd/51ddc2b5-0970-4dfb-b817-6a654ca56b0b

Melden Sie die Sicherheitslücke so schnell wie möglich, um das Risiko zu minimieren, dass unberechtigte Dritte sie finden und ausnutzen. Berichten Sie in einer Weise, die die Vertraulichkeit des Berichts gewährleistet, so dass andere keinen Zugang zu den Informationen erhalten. Stellen Sie ausreichende Informationen bereit, um das Problem zu reproduzieren und entsprechende Lösungen zu finden. damit wir es lösen können. In der Regel reichen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Sicherheitslücke aus. Komplexe Sicherheitslücken erfordern jedoch möglicherweise weitere Erklärungen.

Wichtiger Hinweis:

Legen Sie die Schwachstelle Dritten nicht offen, bevor diese gelöst sind. Nutzen Sie die Sicherheitslücke nicht aus. Andernfalls unternehmen wir rechtliche Schritte.

Unser Versprechen:

Wir melden uns innerhalb von 5 Arbeitstagen nach Eingang des Berichts mit unserer Bewertung und dem Datum der zu erwartenden Lösung. Wenn Sie die obigen Anweisungen befolgt haben, werden wir keine rechtlichen Schritte gegen Sie unternehmen. Wir geben Ihre personenbezogenen Daten ohne Ihre Zustimmung nicht an Dritte weiter, es sei denn, es ist erforderlich, um eine gesetzliche Verpflichtung zu erfüllen. Die Berichterstattung unter einem Pseudonym oder anonym ist möglich. Wir werden Sie über den Fortschritt bei der Lösung des Problems auf dem Laufenden halten. In den öffentlichen Informationen, die das gemeldete Problem betreffen, geben wir Ihren Namen als Entdecker des Problems an (es sei denn, Sie wünschen etwas anderes). Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und wir möchten eine aktive Rolle bei der endgültigen Veröffentlichung des Problems nach seiner Lösung spielen.

Ausgeschlossene Subdomains:

bild.postcode-lotterie.de

Qualifizierte Schwachstellen:

Qualifizierte Schwachstellen haben wir wie folgt definiert: Schwachstellen in Webanwendungen wie XSS, XXE, CSRF, SQL, lokale oder entfernte Dateieinbeziehung, Authentifizierungsprobleme, Remotecodeausführung und Berechtigungsprobleme sowie die Erweiterung von Berechtigungen. Diese qualifizierten Schwachstellen müssen Auswirkungen auf die Sicherheit der Webanwendung und auf ein erhöhtes Risiko für unsere Kunden haben. Sie müssen der erste Forscher sein, der die Sicherheitsanfälligkeit verantwortungsbewusst aufdeckt.

Jede Einsendung wird von Fall zu Fall bewertet. Nachfolgend eine Liste einiger Probleme, die nicht als Sicherheitslücken gelten:

Berichte alter Softwareversionen

Fehlende Best Practices

Verwendung von Komponenten bekannter Anfälligkeit ohne relevante Angriffspunkte

Automatisierte Tool-Scan-Berichte. Beispiel: Web, SSL / TLS-Scan, Nmap-Scan-Ergebnisse usw.

Self-XSS und XSS, die nur veraltete Browser-UI- und UX-Fehler und Schreibfehler betreffen

Probleme mit TLS / SSL

SPF-, DMARC- und DKIM-Konfigurationen

Sicherheitslücken durch veraltete Browser oder Plugins

Inhaltssicherheitsrichtlinien (CSP)

Sicherheitslücken in Produkten am Lebensende

Fehlende sichere Markierung von Cookies

Aufzählung von Benutzernamen

Sicherheitsanfälligkeiten, die auf dem Vorhandensein von Plugins wie Flash beruhen

Fehler, die Benutzer von veralteten Browsern und Plugins betreffen

Fehlende Sicherheitskopfzeilen, z. B. "Inhaltstypoptionen", "X-XSS-Schutz"

CAPTCHAs fehlen als Sicherheitsschutzmechanismus

Probleme, die eine auf dem Gerät installierte schädliche Anwendung betreffen

Sicherheitslücken, die ein Gerät mit Jailbreak erfordern

Sicherheitslücken, die einen physischen Zugriff auf mobile Geräte erfordern

Verwendung einer bekannten anfälligen Bibliothek ohne Nachweis der Ausnutzbarkeit

Click / Tap-Jacking- und UI-Redressing-Angriffe, bei denen der Benutzer dazu verleitet wird, auf ein UI-Element zu tippen

Probleme mit dem Header von Hosts und Bannern

Denial of Service-Angriffe und verteilte Denial of Service-Angriffe

Ratenbegrenzung, Brute-Force-Angriff

Anmelden / Abmelden / CSRF mit geringem geschäftlichen Einfluss

Sitzungsfixierung und Sitzungszeitüberschreitung

Formel / CSV-Injektion

At Deutsche Postcode Lotterie the security of our systems is top priority. No matter how much effort we put into system security, there might be vulnerabilities present. If you discover a vulnerability, we would like to know about it so we can take steps to address it. We would like to ask you to help us protect our participants and our systems.

Submit your findings by using the following URL: https://app.zerocopter.com/de/rd/51ddc2b5-0970-4dfb-b817-6a654ca56b0b

Report the vulnerability as quickly as is reasonably possible, to minimize the risk of hostile actors finding it and taking advantage of it. Report in a manner that safeguards the confidentiality of the report so that others do not gain access to the information. Provide sufficient information to reproduce the problem, so we will be able to resolve it. Usually, the IP address or the URL of the affected system and a description of the vulnerability will be sufficient. But complex vulnerabilities may require further explanation.

Important information:

Do not share knowledge about the vulnerability with others, until the leak has been repaired. Do not abuse the vulnerability. If this happens we may have to pursue legal action.

What we promise:

We will respond to your report within 5 business days with our evaluation of the report and an expected resolution date. If you have followed the instructions above, we will not take any legal action against you concerning the report. We will not pass on your personal details to third parties without your permission unless it is necessary to comply with a legal obligation. Reporting under a pseudonym or anonymous is possible. We will keep you informed of the progress towards resolving the problem. In the public information concerning the reported problem, we will give your name as the discoverer of the problem (unless you desire otherwise). We strive to resolve all problems as quickly as possible, and we would like to play an active role in the ultimate publication on the problem after it is resolved.

Excluded Subdomains:

bild.postcode-lotterie.de

Qualifying vulnerabilities:

We defined qualified vulnerabilities as follow: Web application vulnerabilities such as XSS, XXE, CSRF, SQLi, Local or Remote File Inclusion, authentication issues, remote code execution, and authorization issues and privilege escalation. These qualify vulnerabilities must have an impact on the security of the web application and an increased risk for our customers. You must be the first researcher to responsibly disclose the vulnerability.

Each submission will be evaluated on a case-by-case basis, here is a list of some of the issues which don’t qualify as security vulnerabilities:

Reports of old software versions

Missing best practices

Using components of known vulnerability without relevant POC of attack

Automated tool scan reports. Example: Web, SSL/TLS scan, Nmap scan results etc.

Self-XSS and XSS that affects only outdated browsersUI and UX bugs and spelling mistakes

TLS/SSL related issues

SPF, DMARC, DKIM configurations

Vulnerabilities due to out of date browsers or plugins

Content-Security Policies (CSP)

Vulnerabilities in end of life products

Lack of secure flag on cookies

Username enumeration

Vulnerabilities relying on the existence of plugins such as Flash

Flaws affecting the users of out-of-date browsers and plugins

Security headers missing such as, but not limited to "content-type-options", "X-XSS-Protection"

CAPTCHAs missing as a Security protection mechanism

Issues that involve a malicious installed application on the device

Vulnerabilities requiring a jailbroken device

Vulnerabilities requiring a physical access to mobile devices

Use of a known-vulnerable library without proof of exploitability

Click/Tap-jacking and UI-redressing attacks that involve tricking the user into tapping a UI element

Host header and banner grabbing issues

Denial of Service attacks and Distributed Denial of Service attacks

Rate limiting, brute force attack

Login/logout/low-business impact CSRF

Session fixation and session timeout

Formula/CSV Injection