Bug Bounty Programm

 

Bencompare hat das Ziel, alle deine Verträge übersichtlich zu machen. Dadurch haben wir viel Kontakt mit vielen vertraulichen Informationen. Wir wollen unseren Nutzern eine Umgebung bieten, die so sicher wie möglich ist. Deswegen haben wir ein Bug Bounty Programm ins Leben gerufen.

Bedingungen

Dieses Bug Bounty Programm ist auf die Bencompare App und zugehörige Systeme beschränkt.

  • Bencompare’s aktuelle mobile App für iOS und Android.
  • Das API von Bencompare.

Die statische Seite fällt nicht in den Bereich.

In Frage für eine Belohnung kommen

Um in Frage für eine Belohnung zu kommen, ist es erforderlich, dass Du:

  • Der Erste bist, der die Schwachstelle bei uns gemeldet hat;
  • Eine aussagekräftige Beschreibung der Schwachstelle, zusammen mit einem Ablaufplan, um die Schwachstelle nachzubilden, an uns schickst. Füge auch Screenshots des Concept Codes hinzu, falls dies nötig ist;
  • Die Schwachstelle nicht mit anderen teilst, bevor wir das Problem behoben haben;
  • Beim Aufdecken der Schwachstelle vorsichtig gearbeitet hast. Teste auf deinem(n) eigenen Konto(s) und versuche nicht, an die Daten von anderen Nutzern heranzukommen oder diese zu verändern.
  • Missbrauch einer durch dich entdeckten Sicherheitslücke ist in keinem Fall erlaubt.

Ausgeschlossen sind:

  • Anwendungen von brute force;
  • Social Engineering;
  • Gebrauch von bereits registrierten Schwachstellen in externen Systemen für die es noch keine Lösung gibt.

Unser Sicherheitsteam beantwortet alle Schwachstellenberichte innerhalb von 30 Tagen (meistens ein bisschen schneller).

Belohnungen

Unser Sicherheitsteam beantwortet die Berichte auf Basis der Dringlichkeit der Schwachstellen. Wir bezahlen mehr für das Finden von einzigartigen und schwer auffindbaren Bugs. Wir arbeiten nicht mit einer Maximalvergütung, sodass kreativ gefundene, ernsthafte Bugs eine höhere Vergütung bekommen können. Unsere Mininmalbelohnung ist 100 €.

Schwachstelle Minimalbelohnung
Externe Code Ausführung auf dem Server
(zB.Eingabe von Kommandos)
5 000 EURO
Uneingeschränkter Zugang auf das Dateiensystem 5 000 EURO
Zugriff auf Benutzerdaten (z.B. Passwörter) 2 500 EURO
Umgehung der Sicherheitsmaßnahmen 1 000 EURO
Zugriff auf vertrauliche Informationen von Dritten
(Adressen, Telefonnummern, etc.)
1 000 EURO

zusätzliche Bedingungen

  • Wir behalten uns das Recht vor, dieses Programm jederzeit aufzuheben oder anzupassen. ;
  • -Sie können eine Prämie an eine anerkannte Wohltätigkeitsorganisation spenden (dies unterliegt einer Genehmigung von Benergy). In diesem Fall verdoppeln wir den gespendeten Prämienbetrag. ;
  • Das Platzieren von Inhalt in die Bencom App über Content Injection kommt nicht in Betracht, es sei denn, Du kannst eindeutig ein signifikantes Risiko nachweisen.

Beim Versenden von Schwachstellenmeldungen stimmst Du den oben genannten Regeln zu. Schicke deinen Bericht an:

bugbounty@bencompare.com

Du kannst unseren öffentlichen PGP key verwenden.

Dein Bencompare Security Team