Responsible Disclosure Statement

See English Version below

Bei der Deutschen Postcode Lotterie hat die Sicherheit unserer Systeme oberste Priorität. Egal, wie viel Aufwand wir in die Systemsicherheit stecken, so könnte es dennoch Schwachstellen geben. Wenn Sie eine Sicherheitslücke entdecken, möchten wir darüber Bescheid wissen, um entsprechende Maßnahmen ergreifen zu können. Wir möchten Sie daher bitten, uns beim Schutz unserer Teilnehmer und unserer Systeme zu helfen.

Bitte machen Sie Folgendes:

Senden Sie Ihre Ergebnisse bitte über folgende URL ein: https://app.zerocopter.com/de/rd/51ddc2b5-0970-4dfb-b817-6a654ca56b0b

Melden Sie die Sicherheitslücke so schnell wie möglich, um das Risiko zu minimieren, dass unberechtigte Dritte sie finden und ausnutzen. Berichten Sie in einer Weise, die die Vertraulichkeit des Berichts gewährleistet, so dass andere keinen Zugang zu den Informationen erhalten. Stellen Sie ausreichende Informationen bereit, um das Problem zu reproduzieren und entsprechende Lösungen zu finden. damit wir es lösen können. In der Regel reichen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Sicherheitslücke aus. Komplexe Sicherheitslücken erfordern jedoch möglicherweise weitere Erklärungen.

Wichtiger Hinweis:

Legen Sie die Schwachstelle Dritten nicht offen, bevor diese gelöst sind. Nutzen Sie die Sicherheitslücke nicht aus. Andernfalls unternehmen wir rechtliche Schritte.

Unser Versprechen:

Wir melden uns innerhalb von 5 Arbeitstagen nach Eingang des Berichts mit unserer Bewertung und dem Datum der zu erwartenden Lösung. Wenn Sie die obigen Anweisungen befolgt haben, werden wir keine rechtlichen Schritte gegen Sie unternehmen. Wir geben Ihre personenbezogenen Daten ohne Ihre Zustimmung nicht an Dritte weiter, es sei denn, es ist erforderlich, um eine gesetzliche Verpflichtung zu erfüllen. Die Berichterstattung unter einem Pseudonym oder anonym ist möglich. Wir werden Sie über den Fortschritt bei der Lösung des Problems auf dem Laufenden halten. In den öffentlichen Informationen, die das gemeldete Problem betreffen, geben wir Ihren Namen als Entdecker des Problems an (es sei denn, Sie wünschen etwas anderes). Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und wir möchten eine aktive Rolle bei der endgültigen Veröffentlichung des Problems nach seiner Lösung spielen.

Ausgeschlossene Subdomains:

bild.postcode-lotterie.de

Qualifizierte Schwachstellen:

Qualifizierte Schwachstellen haben wir wie folgt definiert: Schwachstellen in Webanwendungen wie XSS, XXE, CSRF, SQL, lokale oder entfernte Dateieinbeziehung, Authentifizierungsprobleme, Remotecodeausführung und Berechtigungsprobleme sowie die Erweiterung von Berechtigungen. Diese qualifizierten Schwachstellen müssen Auswirkungen auf die Sicherheit der Webanwendung und auf ein erhöhtes Risiko für unsere Kunden haben. Sie müssen der erste Forscher sein, der die Sicherheitsanfälligkeit verantwortungsbewusst aufdeckt.

Jede Einsendung wird von Fall zu Fall bewertet. Nachfolgend eine Liste einiger Probleme, die nicht als Sicherheitslücken gelten:

Berichte alter Softwareversionen
Fehlende Best Practices
Verwendung von Komponenten bekannter Anfälligkeit ohne relevante Angriffspunkte
Automatisierte Tool-Scan-Berichte. Beispiel: Web, SSL / TLS-Scan, Nmap-Scan-Ergebnisse usw.
Self-XSS und XSS, die nur veraltete Browser-UI- und UX-Fehler und Schreibfehler betreffen
Probleme mit TLS / SSL
SPF-, DMARC- und DKIM-Konfigurationen
Sicherheitslücken durch veraltete Browser oder Plugins
Inhaltssicherheitsrichtlinien (CSP)
Sicherheitslücken in Produkten am Lebensende
Fehlende sichere Markierung von Cookies
Aufzählung von Benutzernamen
Sicherheitsanfälligkeiten, die auf dem Vorhandensein von Plugins wie Flash beruhen
Fehler, die Benutzer von veralteten Browsern und Plugins betreffen
Fehlende Sicherheitskopfzeilen, z. B. "Inhaltstypoptionen", "X-XSS-Schutz"
CAPTCHAs fehlen als Sicherheitsschutzmechanismus
Probleme, die eine auf dem Gerät installierte schädliche Anwendung betreffen
Sicherheitslücken, die ein Gerät mit Jailbreak erfordern
Sicherheitslücken, die einen physischen Zugriff auf mobile Geräte erfordern
Verwendung einer bekannten anfälligen Bibliothek ohne Nachweis der Ausnutzbarkeit
Click / Tap-Jacking- und UI-Redressing-Angriffe, bei denen der Benutzer dazu verleitet wird, auf ein UI-Element zu tippen
Probleme mit dem Header von Hosts und Bannern
Denial of Service-Angriffe und verteilte Denial of Service-Angriffe
Ratenbegrenzung, Brute-Force-Angriff
Anmelden / Abmelden / CSRF mit geringem geschäftlichen Einfluss
Sitzungsfixierung und Sitzungszeitüberschreitung
Formel / CSV-Injektion

English Version

At Deutsche Postcode Lotterie the security of our systems is top priority. No matter how much effort we put into system security, there might be vulnerabilities present. If you discover a vulnerability, we would like to know about it so we can take steps to address it. We would like to ask you to help us protect our participants and our systems.

Please do the following:

Submit your findings by using the following URL: https://app.zerocopter.com/de/rd/51ddc2b5-0970-4dfb-b817-6a654ca56b0b

Report the vulnerability as quickly as is reasonably possible, to minimize the risk of hostile actors finding it and taking advantage of it. Report in a manner that safeguards the confidentiality of the report so that others do not gain access to the information. Provide sufficient information to reproduce the problem, so we will be able to resolve it. Usually, the IP address or the URL of the affected system and a description of the vulnerability will be sufficient. But complex vulnerabilities may require further explanation.

Important information:

Do not share knowledge about the vulnerability with others, until the leak has been repaired. Do not abuse the vulnerability. If this happens we may have to pursue legal action.

What we promise:

We will respond to your report within 5 business days with our evaluation of the report and an expected resolution date. If you have followed the instructions above, we will not take any legal action against you concerning the report. We will not pass on your personal details to third parties without your permission unless it is necessary to comply with a legal obligation. Reporting under a pseudonym or anonymous is possible. We will keep you informed of the progress towards resolving the problem. In the public information concerning the reported problem, we will give your name as the discoverer of the problem (unless you desire otherwise). We strive to resolve all problems as quickly as possible, and we would like to play an active role in the ultimate publication on the problem after it is resolved.

Excluded Subdomains:

bild.postcode-lotterie.de

Qualifying vulnerabilities:

We defined qualified vulnerabilities as follow: Web application vulnerabilities such as XSS, XXE, CSRF, SQLi, Local or Remote File Inclusion, authentication issues, remote code execution, and authorization issues and privilege escalation. These qualify vulnerabilities must have an impact on the security of the web application and an increased risk for our customers. You must be the first researcher to responsibly disclose the vulnerability.

Each submission will be evaluated on a case-by-case basis, here is a list of some of the issues which dont qualify as security vulnerabilities:

Reports of old software versions
Missing best practices
Using components of known vulnerability without relevant POC of attack
Automated tool scan reports. Example: Web, SSL/TLS scan, Nmap scan results etc.
Self-XSS and XSS that affects only outdated browsersUI and UX bugs and spelling mistakes
TLS/SSL related issues
SPF, DMARC, DKIM configurations
Vulnerabilities due to out of date browsers or plugins
Content-Security Policies (CSP)
Vulnerabilities in end of life products
Lack of secure flag on cookies
Username enumeration
Vulnerabilities relying on the existence of plugins such as Flash
Flaws affecting the users of out-of-date browsers and plugins
Security headers missing such as, but not limited to "content-type-options", "X-XSS-Protection"
CAPTCHAs missing as a Security protection mechanism
Issues that involve a malicious installed application on the device
Vulnerabilities requiring a jailbroken device
Vulnerabilities requiring a physical access to mobile devices
Use of a known-vulnerable library without proof of exploitability
Click/Tap-jacking and UI-redressing attacks that involve tricking the user into tapping a UI element
Host header and banner grabbing issues
Denial of Service attacks and Distributed Denial of Service attacks
Rate limiting, brute force attack
Login/logout/low-business impact CSRF
Session fixation and session timeout
Formula/CSV Injection