Menü

Konzern

Hilf uns besser zu werden ...

... und nimm teil am Bug‑Bounty‑Programm der Deutschen Telekom. Datenschutz und IT‑Sicherheit haben bei uns einen hohen Stellenwert und mit deinem Beitrag hilfst du uns noch besser zu werden. Solltest du eine Schwachstelle finden, dann lass es uns wissen und qualifiziere dich für eine Prämie. Die Rahmenbedingungen zur Teilnahme findest du hier. 

Bug Bounty

Scope

Folgende Systeme gehören zum Bug Bounty Programm der Deutschen Telekom  (T Mobile US betreibt ein separates Bug Bounty Programm auf Bugcrowd)

Critical / P1
5.000 Euro

High / P2
2.000 Euro

Medium / P3
1.000 Euro

-    *.telekom.de
-    *.telekom.net
-    *.telekom.com
-    *.t-systems.com

Critical / P1
5.000 Euro

High / P2
2.000 Euro

Medium / P3
1.000 Euro

-    *.open-telekom-cloud.com
-    auth.otc.t-systems.com
-    *.otc-service.com

❌  Out of Scope:

-    *.reverse.open-telekom-cloud.com
-    Alle Kundensysteme, die nicht der Deutschen Telekom AG gehören

Du willst mehr? Dann nimm teil an unserem privaten Bug‑Bounty‑Programm. Damit hast du ein breiteres Spektrum an Zielen und damit verbunden höhere Prämien. Haben wir dein Interesse geweckt? Das Bug‑Bounty‑Team steht dir zur Verfügung, wenn du weitere Informationen zur Teilnahme haben möchtest.

Critical / P1
10.000 Euro

High / P2
4.000 Euro

Medium / P3
2.000 Euro

Scope auf Anfrage

Du hast eine Schwachstelle gefunden? Dann sende uns:

  • Eine Beschreibung der Schwachstelle
  • Eine begründete Einschätzung der Kritikalität sowie den Typ der Schwachstelle
  • Einen Proof‑of‑Concept (PoC) zum Nachweis der Ausnutzbarkeit
  • Vorschläge, wie die Schwachstelle behoben werden kann

Rewards

Den angegebenen Prämien wurde ein konkretes Risiko zugrunde gelegt. Bei jeder gemeldeten Schwachstelle wird das Risiko von uns individuell evaluiert und bestimmt damit wie viel Belohnung wir auszahlen:

Um die Kritikalität einer Schwachstelle abschätzen zu können, nutzen wir das Common Vulnerability Scoring System (CVSS) in der Version 4.0 oder alternativ Bugcrowd’s Vulnerability Rating Taxonomy.

Wie ihr sehen könnt, haben wir verschiedene Kategorien definiert. Jede Kategorie unterscheidet sich in Bezug auf die Kritikalität der Schwachstellen und auf die Auswahl an Zielen. Die Höhe der Prämie für die jeweilige Kategorie wird maßgeblich über die Kritikalität bestimmt. Hierbei wurde ein konkretes Risiko zugrunde gelegt. Dieses setzt sich zusammen aus Eintritts-Wahrscheinlichkeit und Schadensausmaß. Bei jeder gemeldeten Schwachstelle wird das Risiko von uns individuell evaluiert. Gibt es dabei größere Abweichungen, kann die individuelle Prämie gemindert oder erhöht werden. Betrifft eine gemeldete Schwachstelle mehrere Systeme, wird die Prämie lediglich einfach ausgezahlt.

Für Schwachstellen in Drittanbietersoftware und ‑Services wird keine Prämie ausgeschüttet.

Rules of Engagement (RoE)

Responsible Disclosure setzen wir verpflichtend voraus. Wenn du eine Schwachstelle entdeckst, melde diese umgehend an uns. Wir werden die Schwachstelle untersuchen und geben unser Bestes, diese schnellstmöglich zu beheben. Wenn du Details zu deinem Fund veröffentlichen möchtest, kontaktiere uns vorher und warte auf die entsprechende Freigabe.

Während deiner Untersuchungen gehst du sorgfältig mit dem geprüften Dienst um und schränkst dessen Verfügbarkeit nicht ein. Du spähst keine Daten aus, veränderst sie nicht, lädst sie nicht herunter, löschst sie nicht und gibst keine Daten weiter. Solltest du gegen diese Regeln verstoßen, sind wir gesetzlich dazu verpflichtet, dies den Behörden zu melden. Das möchtest du nicht – und wir auch nicht. Solltest du dir unsicher sein, kontaktiere bitte unser Bug-Bounty-Team.

Das Bug‑Bounty‑Programm der Deutschen Telekom ist ein offenes Programm.

Teilnahmeberechtigt sind alle, außer aktuelle und ehemalige Mitarbeiterinnen und Mitarbeiter der Deutschen Telekom AG und mit ihr verbundene Unternehmen sowie deren Angehörige oder gesetzliche Vertreter. Minderjährige benötigen eine schriftliche Einverständniserklärung eines Erziehungsberechtigten.

RoE Do’s

  • Halte Details zu Schwachstellen vertraulich
  • Veröffentliche Schwachstellen nur nach unserer ausdrücklichen Freigabe
  • Untersuche nur Systeme, die im Scope des Programms sind
  • Wenn du personenbezogene Daten im Rahmen deiner Untersuchung entdeckst, beende den Angriff sofort, lösche die transferierten personenbezogenen Daten und kontaktiere das Bug‑Bounty‑Team
  • Bei Unklarheiten wende dich an das Bug‑Bounty‑Team

RoE Dont’s

  • Untersuche keine Systeme, die außerhalb des Scopes liegen
  • Schränke die Verfügbarkeit der Systeme nicht ein
  • Spähe keine Daten aus, verändere, lade herunter, lösche oder gib keine Daten weiter
  • Führe keine Social Engineering Angriffe durch
  • Versuche nicht, physisch Zutritt zur Infrastruktur der Deutschen Telekom AG oder Rechenzentren zu erlangen
  • Verstoße nicht gegen geltendes Recht
  • Greife keine Drittanbietersysteme an

Kommunikation und Zusammenarbeit

Kommunikation und Zusammenarbeit sind entscheidend für den Erfolg des Bug-Bounty-Programms. Halte uns regelmäßig über den Fortschritt deiner Untersuchungen auf dem Laufenden und teile alle relevanten Informationen zeitnah mit uns. Wir schätzen eine offene und transparente Kommunikation und bemühen uns ebenfalls darum.

Kontakt: bugbounty@telekom.de

Danksagungen

Danksagungen

Wir möchten uns an dieser Stelle bei wichtigen Helfern bedanken, die uns mit Hinweisen dabei unterstützen, unsere Systeme sicherer zu machen.

Danksagungen

FAQ