Verantwortung

Sicherheitslücken schließen

  • Teilen
    2 Klicks für mehr Datenschutz: Erst wenn Sie hier klicken, wird der Button aktiv und Sie können Ihre Empfehlung senden. Schon beim Aktivieren werden Daten an Dritte übertragen.
  • Drucken
  • Text vorlesen

Die Deutsche Telekom unterhält ein eigenes Bug Bounty Programm, um ihre Produkte sicherer zu machen.

Der Begriff "Bug Bounty“ kommt aus dem Englischen und bezeichnet die Prämierung gemeldeter Fehler in Anwendungen.

Im Rahmen der Bug Bounty Initiative der Deutschen Telekom sind nur Schwachstellen in Webportale der Domaine telekom.de und ihrer Subdomänen relevant. Weitergehende Hinweise sind natürlich jederzeit willkommen, sind aber von einer Prämie ausgeschlossen.

Das Bug Bounty Programm der Deutschen Telekom ist ein offenes Programm. Von der Teilnahme ausgenommen sind jedoch die gesetzlichen Vertreter, aktuelle und ehemalige Mitarbeiter der Deutschen Telekom und deren verbundenen Unternehmen sowie deren Angehörige. Minderjährige dürfen nur mit der Zustimmung des gesetzlichen Vertreters teilnehmen.

Was wir unter Responsible Disclosure verstehen?

  • Wir haben ausreichend Zeit zur Reaktion und Fehlerbehebung.
  • Sie haben im Rahmen der Sicherheitsuntersuchungen alle Bemühungen unternommen, den geprüften Dienst in seiner Verfügbarkeit nicht einzuschränken.
  • Sie haben keine Daten Dritter ausgespäht und weitergegeben.
  • Sie haben Dritte nicht über die Schwachstelle informiert.

Um für eine Prämie in Frage zu kommen, gilt Folgendes:

  • Die Schwachstelle darf nicht vorher öffentlich bekannt sein.
  • Es muss sich um die erste Einsendung zu dieser Schwachstelle handeln.
  • Die Responsible Disclosure Policy muss eingehalten werden.
  • Für den Test dürfen reale Accounts verwendet werden, der Zugriff auf Accountdaten Dritter ohne deren Zustimmung muss auf jeden Fall unterlassen werden.
  • Die Schwachstelle muss ohne die Verwendung von Scannertools gefunden worden sein.
  • Die Schwachstelle darf nicht auf einer veralteten Third Party Software Komponente beruhen.
  • Eine Bug Bounty Einreichung muss ein Beispiel (eindeutiger Request oder PoC Code) und Beschreibung der Schwachstelle enthalten. Dies schließt den verwendeten Browser und ggf. Browsereinstellungen mit ein.

Die Höhe der jeweiligen Prämie orientiert sich an der Kritikalität des Fehlers und des verwundbaren Portals.

Relevante Systeme für Bug Bounty Meldungen:

  • Das Bug Bounty Programm fokussiert sich exklusiv auf Webportale der Deutschen Telekom AG in Deutschland.
  • Im Rahmen der Bug Bounty Initiative sind nur Schwachstellen in Webportalen der telekom.de Domaine (*.telekom.de) relevant.
    Über weitergehende Hinweise freuen wir uns natürlich jederzeit.
  • Eine spätere Ausweitung ist nicht ausgeschlossen.

Welche Schwachstellen sollen gemeldet werden? (Achtung, Änderung zum 30. Dezember 2013)

  • (Nicht mehr im Scope ab dem 30.12.2013) XSS Schwachstellen
  • (Nicht mehr im Scope ab dem 30.12.2013) CSRF Schwachstellen
  • (Nicht mehr im Scope ab dem 30.12.2013) RFI / LFI Schwachstellen
  • Remote Code Execution Schwachstellen
  • SQL Injection Schwachstellen

Bitte nur eine Schwachstelle pro E-Mail melden.

Für die Auszahlung einer Prämie, benötigen wir zusätzliche Informationen.
Notwendige Angaben zur Prämienauszahlung (pdf, 48.8 KB)

Danksagungen

Danksagungen

Wir möchten uns an dieser Stelle bei wichtigen Helfern bedanken, die uns mit Hinweisen dabei unterstützen, unsere Systeme sicherer zu machen.

FAQ

Diese Website verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Durch die Nutzung der Website {js_accept}akzeptieren{js_accept} Sie die Verwendung von Cookies. Weitere Informationen finden Sie hier.