Regel

Die placeB AG betreibt verschiedene Dienste (Plattformen, Services). Allerdings fallen nur Dienste von explizit aufgeführten Domains / URLs in den Geltungsbereich der Vulnerability Disclosure Policy. Alle anderen Domains oder explizit gelisteten Dienste sind daher nicht prämienberechtigt und fallen nicht unter das Legal Safe Harbor Agreement.

Mit der Teilnahme an diesem Programm verpflichten sich die Sicherheitsforscher, Informationen über gefundene Schwachstellen ausschliesslich über das dafür vorgesehene Meldeformular der Plattform zu dokumentieren und nicht an anderer Stelle. Sie verpflichten sich ausserdem, die gefundene Sicherheitslücke nach der Meldung auf der Plattform geheim zu halten. Schliesslich verpflichten sie sich, alle Daten von Kunden, die sie im Rahmen des Tests erhalten haben, auf die Plattform hochzuladen und anschliessend alle lokalen Kopien zu löschen und nicht weiter zu verbreiten.

Bitte beachten Sie: Dies ist ein Programm zur Offenlegung von Schwachstellen, es werden keine Bug Bounties ausgezahlt.

Mit der Teilnahme an dem Programm verpflichten sich die Sicherheitsforscher, keine Methoden anzuwenden, die die getesteten Anwendungen oder deren Benutzer beeinträchtigen könnten. Dazu gehören:

• Soziale Manipulation
• Versenden von Spam / unerwünschte Massen-E-Mails
• Betrügerisches Abgreifen sensibler Daten
• Angriffe zur Dienstblockierung
• Körperliche bzw. hardwarebezogene Angriffe

Zusätzlich zu den oben aufgeführten verbotenen Hacking-Methoden sind die Sicherheitsforscher verpflichtet, das Scannen von Sicherheitslücken sofort einzustellen, wenn sie feststellen, dass ihr Verhalten zu einer erheblichen Beeinträchtigung (negative Auswirkungen auf die regulären Nutzer oder das Betriebsteam) des Betriebs der Plattform oder des Dienstes führt.

Teile der Dienstleistung von placeB sind ein physisches Produkt.

Wenn Sicherheitsforscher feststellen, dass eine Tür geöffnet wurde, sind sie verpflichtet, dies sofort zu melden. Um möglichen Schaden zu minimieren, sind nur diese API-Endpunkte für die Türen erlaubt:

open-doors

• https://api.placeb.ch/api/v1/reservations/7449/open-doors/2502
• https://api.placeb.ch/api/v1/reservations/7449/open-doors/2499

open-box

• https://api.placeb.ch/api/v1/reservations/7450/open-box
• https://api.placeb.ch/api/v1/reservations/7450/open-box

Alle anderen Endpunkte können unabhängig von der Id getestet werden.

Benutzer Agent

Wenn Ihre Lauftests vdp-placeb-ag-nQXAJAvc an den User-Agent anhängen.

Anlegen von Benutzern, Buchen eines Lagerraums und Kontaktformular

Sicherheitsforscher dürfen zu Testzwecken neue Benutzer anlegen.

• Wenn Sie einen neuen Benutzer anlegen, einen Lagerraum (auch Box genannt) buchen oder das Kontaktformular benutzen, verwenden Sie bitte den Vornamen „Bug“ und den Nachnamen „Hunter“.
• Wenn Sie einen Selbstlagerraum buchen, geben Sie bitte den Standort Winterthur, Hegmattenstrasse und die Kategorie „Ein paar Kisten | 1m³“ an.
• Wichtig: Testbuchungen können von placeB nach 1 Tag ohne Benachrichtigung storniert werden.

Jedes Design- oder Implementierungsproblem, das reproduzierbar ist und die Sicherheit beeinträchtigt, kann gemeldet werden.

Typische Beispiele:

• Cross Site Request Forgery (CSRF) - Webseiten-übergreifende Anfragenfälschung
• Cross Site Scripting (XSS) - Webseiten-übergreifendes Skripting
• Insecure Direct Object Reference - Unsichere direkte Objektverweise
• Remote Code Execution (RCE) - Ausführung von Code aus der Ferne
• Injection Flaws - Einschleusungsschwachstellen (z. B. SQL-Injection)
• Information Leakage an Improper Error Handling - Informationsleck und unsachgemässe Fehlerbehandlung
• Unauthorized access to properties or accounts - Unbefugter Zugriff auf Daten, Objekte oder Benutzerkonten

Andere Beispiele:

• Daten- bzw. Informationslecks
• Möglichkeit der Daten-/Informations­exfiltration (heimliches Ausschleusen von Daten)
• Hintertüren, die aktiv ausgenutzt werden können
• Potenzial für unbefugte Systemnutzung
• Fehlkonfigurationen

Die folgenden Schwachstellen und Formen der Dokumentation sind im Allgemeinen nicht erwünscht:

• Angriffe, die einen physischen Zugang zum Gerät oder Netzwerk eines Benutzers erfordern
• Die Verwendung einer Bibliothek, die als anfällig bekannt ist oder von der öffentlich bekannt ist, dass sie defekt ist (es sei denn, es gibt aktive Beweise für die Ausnutzbarkeit)
• Social Engineering, das auf Einzelpersonen oder Einrichtungen der Organisation abzielt
• Denial-of-Service (DoS)- oder Distributed-Denial-of-Service (DDoS)-Angriffe
• Bots, Spam, Massenregistrierung

Nicht im Geltungsbereich: Alle (Unter-)Bereiche und Dienste, die nicht ausdrücklich aufgeführt sind, fallen nicht in den Geltungsbereich.

In Reichweite:

www.placeb.ch

Website mit Buchung, Kasse und Bezahlvorgang. Freundliche Hacker dürfen zu Testzwecken neue Benutzer anlegen oder einen Lagerraum buchen (unter Einhaltung der Regeln im Abschnitt „Regeln - Benutzer anlegen und Lagerraum buchen“)

api.placeb.ch

Backend-Server (in Übereinstimmung mit den Regeln im Abschnitt „Regeln - Physischer Teil“)

socket.prod.placeB.ch

IOT Gateway Server

Android App

Android App zur Verwaltung von Buchungen, Konto und Zugang zum Lagerraum. Google Play Store

iOS App

iOS App zur Verwaltung von Buchungen, Konto und Zugang zum Lagerraum. App Store

Die placeB AG erteilt ihre Einwilligung, dass Sicherheitsforscher Hacking-Methoden auf der Grundlage des angegebenen Briefings einsetzen dürfen. Aufgrund dieser Einwilligung entfällt der Straftatbestand der unbefugten Beschaffung/unbefugten Verwendung und damit die Strafbarkeit der Sicherheitsforscher im Hinblick auf die Straftatbestände von Art. 143 StGB (Unerlaubte Beschaffung von Daten) und Art. 143bis StGB (Unbefugter Zugriff auf ein Datenverarbeitungssystem) findet keine Anwendung.