Vulnerability Disclosure Program
Programm zur Offenlegung von Sicherheitslücken
Einführung:
Bei ShopGalaxy.ch nehmen wir die Sicherheit unserer Kunden und ihrer Daten sehr ernst. Wir sind bestrebt, die Privatsphäre und Integrität unserer Plattform zu wahren und gegen Sicherheitslücken vorzugehen, die unsere Systeme gefährden könnten. Um dies zu unterstützen, haben wir ein Programm zur Offenlegung von Sicherheitslücken eingerichtet, um in Zusammenarbeit mit Sicherheitsforschern und der breiteren Community potenzielle Schwachstellen zu identifizieren und zu beheben.
Richtlinien
✅ Verantwortungsvolle Offenlegung
Sicherheitsforscher sollten ihre Forschung so durchführen, dass das Risiko für unsere Systeme, Nutzer und deren Daten minimiert wird. Bitte vermeiden Sie Aktivitäten, die unsere Dienste stören oder die Privatsphäre der Nutzer gefährden.
✅ Vertraulichkeit
Alle Informationen zu entdeckten Sicherheitslücken müssen vertraulich behandelt und dürfen nicht veröffentlicht werden, bis das Problem behoben ist.
✅ Keine Ausnutzung
Gefundene Sicherheitslücken dürfen nicht zu persönlichen Vorteilen oder böswilligen Zwecken ausgenutzt werden. Dies umfasst den Zugriff, die Änderung oder das Löschen fremder Daten.
✅ Meldung
Bitte melden Sie Sicherheitslücken per E-Mail an info@shopgalaxy.ch mit einer detaillierten Beschreibung, einschließlich Schritten zur Reproduktion, potenziellen Auswirkungen und möglichen Lösungen.
✅ Zusammenarbeit
Wir schätzen Ihre Unterstützung und arbeiten mit Ihnen zusammen, um entdeckte Sicherheitslücken zu verstehen und zu beheben. Wir bestätigen den Eingang Ihres Berichts, halten Sie über den Fortschritt auf dem Laufenden und benachrichtigen Sie, wenn das Problem behoben wurde.
Umfang des Programms
Unser Programm deckt alle Design- oder Implementierungsprobleme ab, die die Vertraulichkeit oder Integrität von Benutzerdaten erheblich beeinträchtigen. Dazu gehören:
🔹 XSS (Cross-Site Scripting)
🔹 CSRF (Cross-Site Request Forgery)
🔹 SSRF (Server-Side Request Forgery)
🔹 SSTI (Server-Side Template Injection)
🔹 SQL Injection
🔹 XXE (XML External Entity)
🔹 RCE (Remote Code Execution)
🔹 LFI/RFI (Local/Remote File Inclusion)
🔹 Fehler in Authentifizierungs- oder Autorisierungsprozessen
Nicht im Umfang
Bestimmte Probleme sind nicht Teil des Programms:
❌ Sicherheitsbedenken ohne unmittelbare Exploit-Möglichkeit
❌ Social Engineering
❌ Physische Zugriffsanfälligkeiten
❌ Denial-of-Service-Angriffe (DoS)
❌ E-Mail-Spoofing
❌ Fehlende Jailbreak-Erkennung, Binärschutz, Zertifikat-Pinning
❌ Fehlende HTTP-Sicherheitsheader (nur mit umfassendem Proof of Concept relevant)
❌ Bekannte unsichere Bibliotheken (ohne Nachweis der Exploit-Möglichkeit)
❌ Unsichere SSL/TLS-Chiffren (nur mit funktionalem Exploit-Nachweis relevant)
Meldung & Berichtsvorlage
📩 Sicherheitslücken melden an: info@shopgalaxy.ch
📝 Sprache des Berichts: Deutsch oder Englisch
📌 Bericht sollte enthalten:
1️⃣ Beschreibung der Sicherheitslücke (Art des Problems, betroffene Komponenten)
2️⃣ Schritte zur Reproduktion (klare, schrittweise Anleitung)
3️⃣ Potenzielle Auswirkungen (Risiken für Nutzer und System)
4️⃣ Proof of Concept (falls verfügbar) (Code, Screenshots oder andere Nachweise)
5️⃣ Vorgeschlagene Maßnahmen (optional) (Empfehlungen zur Behebung)