Was ist das Nordantech Security Bounty Programm?
Das Nordantech Security Bounty Programm bietet eine strukturierte Plattform für Entwickler und Sicherheitsforscher, um potenzielle Schwachstellen in unserem Code, unserer Infrastruktur oder unseren Anwendungen verantwortungsvoll zu melden. Wir schätzen verantwortungsbewusste Offenlegung und honorieren eingereichte Funde abhängig von deren Schweregrad und Ausnutzbarkeit. Ziel ist es, gemeinsam die Sicherheit unserer Systeme zu stärken – durch praxisnahe Prüfungen von Expertinnen und Experten, die wissen, wie Sicherheitslücken entstehen und wie sie verhindert werden können.
Welche digitalen Services umfasst das Programm?
Wir begrüßen Hinweise auf Sicherheitslücken, die in einem der folgenden Bereiche unserer Falcon-Plattform identifiziert wurden:
Im Geltungsbereich („In Scope“)
Die folgenden Systeme und Komponenten fallen unter den Geltungsbereich des Nordantech Security Bounty Programms:
- Anwendung: https://app.nordantech.com
- Öffentliche API: https://api.nordan.tech
- Produktive Infrastruktur: Alle produktiven Systeme, die die Kerndienste der Plattform unterstützen
- Produktionsbezogene Subdomains: Alle Subdomains unter
*.nordan.tech, sofern sie produktive Systemkomponenten betreffen
Nicht im Geltungsbereich („Out of Scope“)
Die folgenden Systeme und Komponenten sind vom Security Bounty Programm ausgeschlossen. Sicherheitsuntersuchungen an diesen Systemen gelten als unautorisiert:
- Nordantech-Website: https://www.nordantech.com
- Nicht-Produktionsumgebungen: Stage-, Test-, Entwicklungs- oder Integrationssysteme
- Informations- und Weiterleitungsdomänen: Domains, die keine aktiven Anwendungsfunktionen bereitstellen (z. B. https://support.nordantech.com oder https://status.nordantech.com)
Bitte beachten Sie, dass digitale Dienste, die nicht in der obigen Liste aufgeführt sind, nicht Teil des Security Bounty Programms sind. Gegebenenfalls kann eine IT-Sicherheitsuntersuchung solcher nicht genannter Dienste als rechtswidrig eingestuft und entsprechend geahndet werden.
Regeln für das Security Bounty Programm
Um ein sicheres, faires und produktives Umfeld für alle Beteiligten zu gewährleisten, bitten wir Sie, bei Ihrer Teilnahme am Nordantech Security Bounty Programm die folgenden Verhaltensregeln und Rahmenbedingungen einzuhalten:
Respektieren Sie die Privatsphäre anderer
Führen Sie keine Aktionen durch, die auf Daten zugreifen, sie verändern oder löschen, wenn diese nicht Ihnen gehören. Testen Sie ausschließlich mit Ihren eigenen Konten und Daten.Vermeiden Sie Beeinträchtigungen des Dienstbetriebs
Jegliche Aktivitäten, die die Verfügbarkeit, Integrität oder Stabilität der Falcon-Dienste beeinträchtigen könnten – z. B. Denial-of-Service-Angriffe (DoS), Flooding, Spam, Brute-Force oder andere Störungen – sind untersagt.Verantwortungsvolle Offenlegung (Responsible Disclosure)
Melden Sie entdeckte Schwachstellen vertraulich an uns und verzichten Sie auf eine öffentliche Bekanntmachung, bis wir Gelegenheit hatten, die gemeldeten Probleme zu beheben.Kein Social Engineering
Verzichten Sie auf jegliche Form von Social-Engineering-Angriffen, einschließlich Phishing, Pretexting oder ähnlichen Methoden gegenüber Mitarbeitenden, Nutzerinnen und Nutzern oder Systemen von Falcon.Nutzen Sie ausschließlich legale und autorisierte Kanäle
Beschränken Sie Ihre Aktivitäten ausschließlich auf die im Scope definierten Systeme. Jeglicher unautorisierter Zugriff auf andere Systeme oder Daten ist untersagt und kann rechtliche Konsequenzen nach sich ziehen.Vollständige und nachvollziehbare Berichterstattung
Ihre Meldung sollte klar strukturierte, reproduzierbare Schritte sowie alle relevanten technischen Details enthalten, um eine schnelle Validierung und Bearbeitung zu ermöglichen.Testen Sie nur innerhalb des definierten Geltungsbereichs
Schwachstellen in Systemen außerhalb des festgelegten Scopes (z. B. www.nordantech.com, Staging-Umgebungen, Weiterleitungsdomänen) werden nicht belohnt und können zum Ausschluss vom Programm führen.Keine physischen Angriffe oder Drohungen
Physische Sicherheitsangriffe sowie jede Form von Bedrohung gegenüber Personen oder Einrichtungen sind strengstens untersagt.Teilnahmeberechtigung
Teilnehmende müssen im Land ihres Wohnsitzes volljährig sein, um am Security Bounty Programm teilnehmen und Prämien erhalten zu dürfen.
Mit Ihrer Teilnahme am Nordantech Security Bounty Programm verpflichten Sie sich, die oben genannten Regeln einzuhalten und in verantwortungsvoller Absicht zu handeln.
Wir behalten uns das Recht vor, Teilnehmer vom Programm auszuschließen oder Belohnungen zurückzuhalten, wenn gegen diese Richtlinien verstoßen wird.
Meldung von Sicherheitslücken
Wenn Sie eine potenzielle Sicherheitslücke entdeckt haben, bedanken wir uns für Ihre verantwortungsbewusste Unterstützung bei der Meldung. Bitte folgen Sie für die Einreichung eines Berichts den untenstehenden Schritten:
Bericht vorbereiten
Ihr Bericht sollte eine klare und detaillierte Beschreibung des Problems enthalten und idealerweise folgende Informationen umfassen:
- Betroffener Dienst oder Endpunkt (z. B.
api.nordan.tech) - Schritte zur Reproduktion der Schwachstelle
- Erwartetes versus tatsächliches Verhalten
- Relevante Belege wie Screenshots, Logdateien oder Proof-of-Concept-Code
Bericht einreichen
Senden Sie Ihren Bericht per E-Mail an: security@nordantech.com.
Wir empfehlen, sensible Informationen verschlüsselt (z. B. via PGP oder S/MIME) zu übermitteln.
Erreichbarkeit sicherstellen
Unser Sicherheitsteam wird sich gegebenenfalls mit Ihnen in Verbindung setzen, um Rückfragen zu klären. Bitte antworten Sie zeitnah, um die Analyse und Behebung zu beschleunigen.
Vertraulichkeit wahren
Bitte veröffentlichen Sie keine Details zur Sicherheitslücke, bevor wir diese bestätigt und behoben haben. Wir halten Sie während des gesamten Prozesses über den Fortschritt informiert.
Wir bemühen uns, alle gültigen Meldungen innerhalb von 72 Stunden zu bestätigen und Sie regelmäßig über den Status der Triage und Behebung zu informieren.
Umgang mit gemeldeten Schwachstellen
Nach Eingang eines Schwachstellenberichts überprüft unser Sicherheitsteam die Gültigkeit, den potenziellen Schaden sowie den Schweregrad des Problems. Gut dokumentierte und reproduzierbare Berichte erhalten dabei Priorität.
Wir prüfen, ob die gemeldete Schwachstelle in den definierten Geltungsbereich fällt. Falls ja, erfolgt eine Einstufung und Bewertung anhand des Common Vulnerability Scoring System (CVSS) Version 4.0:
https://www.first.org/cvss/calculator/4-0
Unser Technikteam arbeitet zeitnah an der Behebung des Problems. Während des gesamten Prozesses bleiben wir im Austausch mit dem Meldenden, um weitere Details zu erfragen und über den aktuellen Stand zu informieren.
Nach erfolgreicher Behebung der Schwachstelle prüfen wir die Berechtigung einer Prämienzahlung gemäß den Kriterien unseres Programms und erkennen den Beitrag des Forschers entsprechend an.
Welche Prämien werden ausgezahlt?
| Kategorie | Niedriges Risiko | Mittleres Risiko | Hohes Risiko | Kritisches Risiko |
|---|---|---|---|---|
| CVSS-Score | 0,1 – 3,9 | 4,0 – 6,9 | 7,0 – 8,9 | 9,0 – 10,0 |
| Bounty | 0 – 100 € | 100 – 500 € | 500 – 1.000 € | 1.000 – 5.000 € |