Verantwortungsvolle Offenlegung
Unsere Kunden vertrauen darauf, dass wir ihre Daten sicher und vertraulich behandeln. Wir nehmen Sicherheit ernst und arbeiten kontinuierlich daran, dieses Vertrauen zu stärken. Haben Sie etwas zu melden? Kontaktieren Sie uns unter security@teamretro.com
Verantwortungsvolle Offenlegung
Wir ermutigen alle, die verantwortungsvoll mit der Offenlegung umgehen und unsere Richtlinien und Nutzungsbedingungen einhalten, an unserem Bug-Bounty-Programm teilzunehmen. Bitte vermeiden Sie automatisierte Tests und führen Sie Sicherheitstests nur mit Ihren eigenen Daten durch. Bitte geben Sie keine Informationen zu den Schwachstellen preis, bis wir diese behoben haben. Belohnungen werden nach unserem Ermessen und je nach Schwere der gemeldeten Schwachstelle vergeben und über PayPal ausgezahlt.
Sie können Sicherheitslücken melden, indem Sie sich an security@teamretro.com wenden. Bitte fügen Sie einen Proof of Concept bei. Wir werden Ihre Meldung so schnell wie möglich beantworten und werden keine rechtlichen Schritte einleiten, wenn Sie die Regeln einhalten.
Abdeckung
- *.teamretro.com
Speziell:- secure.teamretro.com
Ausschlüsse
- *.eu.teamretro.com
- ww1.teamretro.com
- ww2.teamretro.com
- ww3.teamretro.com
- www.teamretro.com
- at.teamretro.com
- help.teamretro.com
- feedback.teamretro.com
- mail.teamretro.com
- status.teamretro.com
- track.teamretro.com
- icebreaker.teamretro.com
- www-assets.teamretro.com
Akzeptierte Schwachstellen sind die folgenden
- Cross-Site Scripting (XSS)
- Open redirect
- Cross-site Request Forgery (CSRF)
- Command/File/URL inclusion
- Authentication issues
- Code execution
- Code or database injections
Dieses Bug-Bounty-Programm beinhaltet NICHT
- Account/email enumerations
- Denial of Service (DoS)
- Angriffe, die die Zuverlässigkeit/Integrität unseres Geschäfts schädigen könnten
- Spam-Angriffe
- Clickjacking auf Seiten ohne Authentifizierung und/oder sensible Statusänderungen
- Mixed content warnings
- Lack of DNSSEC
- Content spoofing / text injection
- Timing attacks
- Social engineering
- Phishing
- Unsichere Cookies für nicht sensible Cookies oder Cookies von Drittanbietern
- Sicherheitslücken, die eine äußerst unwahrscheinliche Benutzerinteraktion erfordern
- Exploits, die physischen Zugriff auf den Computer eines Benutzers erfordern
- Fehlende Sicherheitsheader, die nicht direkt zu einer Sicherheitslücke führen
- Fehlende Best Practices (wir benötigen den Nachweis einer Sicherheitslücke)
Das automatisierte Scannen muss ohne vorherige Vereinbarung auf 1 Anfrage pro Sekunde (1rps) begrenzt werden und alle Bug-Bounty-Details müssen vertraulich bleiben.