Disclosure

Der CCC unterstützt bei der Meldung von Sicherheitslücken.

Wenn du beim Melden einer Sicherheitslücke nicht weiterkommst, kannst du dich an disclosure@ccc.de wenden. Wir nehmen gern auch verschlüsselte E-Mails entgegen.

Deine Meldung an uns sollte enthalten:

• nachvollziehbare Schritte, die es uns erlauben, die Sicherheitslücke zu verstehen,
• eine Beschreibung des Schadens und welche Informationen zugreifbar sind, insbesondere wenn es sich um personenbezogene Daten Dritter handelt,
• (optional) Screenshots, um beispielsweise den Zugriff auf ein Admin-Portal nachzuweisen,
• (gern gesehen) Empfehlungen zur Behebung der Sicherheitslücke.

Wir prüfen die Meldungen und leiten sie weiter, wenn wir die Sicherheitslücke nachvollziehen können. Dabei versuchen wir auf Wunsch, eure Identität zu schützen. Bei eventuellen rechtlichen Schritten seitens der Empfänger*innen der Nachricht taucht dann zunächst der CCC als Absenderin der Meldung auf. Zusätzlich schadet es selten, auf gute OpSec zu achten.

Keine Unterstützung leisten wir bei Meldungen mit finanziellen Interessen, etwa im Rahmen von Bug-Bounty-Programmen. Auch auf allgemeine Hinweise zu hypothetischen Schwachstellen oder auf Dinge, die „mal jemand auseinandernehmen sollte“, können wir leider nicht eingehen.

Sobald die Sicherheitslücke behoben wurde oder nach Ablauf einer angemessenen Frist veröffentlichen wir hier Informationen zur Sicherheitslücke.