Responsible Disclosure

Hinweis: Diese Seite ist zur Meldung technischer Schwachstellen in unseren Websites gedacht. Als Kunde mit einem persönlichen Sicherheitsproblem, wie einem gehackten Account, Fragen zur Rechnungsstellung, etc. wenden Sie sich bitte an unseren Kundenservice.
Als größter deutscher Mobilfunkanbieter nach Kundenzahlen ist es unsere Verantwortung und eigener Anspruch, unsere Kunden, Produkte und Kanäle vor digitalen Bedrohungen zu schützen. Obwohl wir große Anstrengungen unternehmen, um die Sicherheit unserer Systeme und Produkte zu gewährleisten, stetig zu verbessern und weiterzuentwickeln, kann es vorkommen, dass Schwachstellen darin verbleiben oder durch neue Angriffsmechanismen entstehen. Sollten Sie eine Schwachstelle in einem unserer Systeme feststellen, möchten wir Ihnen mit unserem Responsible Disclosure Programm die Möglichkeit bieten, uns diese Sicherheitslücke zu melden. Die Teilnahme am Programm ist der Öffentlichkeit möglich und kann anonym erfolgen. Derzeit wird die Einreichung von Sicherheitslücken nicht vergütet, eine zukünftige Prämierung von Schwachstellenfunden ist jedoch nicht ausgeschlossen. Ausgeschlossen von einer etwaigen Prämierung sind gesetzliche Vertreter, aktuelle und ehemalige Mitarbeiter der Telefónica Germany GmbH & Co. OHG und deren verbundenen Unternehmen sowie deren Mitarbeiter. Minderjährigen ist die Teilnahme nur mit Zustimmung eines gesetzlichen Vertreters gestattet.

Was wir unter Responsible Disclosure verstehen

Der Begriff "Responsible Disclosure" bezeichnet die verantwortungsvolle Offenlegung entdeckter Sicherheitslücken. Für uns bedeutet das
-Sie geben uns ausreichend Zeit, auf Ihren Hinweis zu reagieren und die Schwachstelle zu beheben. In dieser Zeit machen Sie das Problem nicht öffentlich bekannt.
-Bei der Prüfung unserer Systeme auf Schwachstellen unternehmen Sie alle Bemühungen Produkte, Dienste und Infrastruktur nicht zu beschädigen oder in ihrer Verfügbarkeit einzuschränken.
-Sie nutzen eine gefundene Schwachstelle nicht aus, um mehr Daten zu erlangen als zum Nachweis der Sicherheitslücke notwendig. Sie nutzen die Schwachstelle nicht aus, um Daten Dritter zu erlangen, auszuspähen, zu verändern, zu löschen oder weiter zu geben.
-Nach Meldung der Sicherheitslücke löschen sie sämtliche personenbezogenen oder vertraulichen Daten, die im Rahmen der Tests in Ihren Besitz gelangt sind.
-Wir behandeln Ihre Meldung vertraulich und teilen Ihre personenbezogenen Informationen nicht ohne Ihre Zustimmung mit Dritten, sofern dies nicht zur Erfüllung gesetzlicher Pflichten oder aufgrund eines Gerichtsurteils vorgeschrieben ist. Alle von Ihnen mitgeteilten Daten werden ausschließlich zur Behebung der gemeldeten Sicherheitslücke verwendet und werden 30 Tage nach Bearbeitung gelöscht. Weitere Informationen zum Umgang mit Ihren personenbezogenen Daten finden Sie unter www.telefonica.de/datenschutz, respektive im Datenschutzbereich der einzelnen Portale.
-In Einklang mit den beschriebenen Bedingungen und im Einklang des Programms durchgeführte Testaktivitäten und Meldungen werden wir nicht rechtlich verfolgen.

Explizit ausgeschlossene Systeme

Unerlaubte Tests und Schwachstellen außerhalb des Fokus

Generell sind wir für die Meldung aller gemeldeten Schwachstellen dankbar, einige Schwachstellen sind im Rahmen des Programms allerdings nicht im Fokus. Diese sollten nicht gemeldet werden.
-CSRF auf nicht kritische Aktionen (z.B. Logout)
-Für tatsächliche Angriffe ungeeignete Cross Site Scripting (XSS) Schwachstellen (z.B. „Self XSS“)
-Fehlende Cookie Flags bei nicht sicherheitskritischen Cookies (z.B. Tracking Cookies)
-Fehlende HTTP-Header (z.B. X-Content-Type), wenn diese kein ausnutzbares Sicherheitsrisiko darstellen
-Fehlende HSTS Policies (Server erzwingt keine HTTPS Verbindung)
-Nicht aufbereitete Ergebnisse automatisierter Scanner Tools
-Clickjacking Schwachstellen ohne PoC Code, welcher einen Angriff demonstriert
-Information Disclosure Schwachstellen ohne Sicherheitsrelevanz (z.B. Versionsinformationen für nicht angreifbare Softwarekomponenten, Versionsinformationen in JavaScript Dateien)
-Schwachstellen bezüglich sogenannter „weak cipher“
-Schwachstellen in 3rd Party Systemen (jegliche Systeme oder Services die nicht von Telefónica betrieben werden)
Die folgenden Testmethoden sind explizit nicht vom Programm abgedeckt und durch Telefónica untersagt. Entsprechende Versuche können rechtlich geahndet werden.
-DoS/DDoS Versuche
-Social Engineering Versuche
-Spam, Phishing, Spear Phishing oder ähnliche massenhafte Kommunikation an Mitarbeiter, Kunden, Partner, etc.
-Angriffe über Support-Kanäle wie Chat, Telefonkontakt, E-Mail
-Missbrauch von Daten oder Accounts Dritter
Dieses Formular ist für die Verwendung mit Google Chrome und Mozilla Firefox optimiert. Bei der Verwendung anderer Browser kann es zu Problemen bei der Darstellung kommen.