Sicherheitslücken auf verantwortungsvolle Weise melden

Wenn du ein Etsy-Mitglied bist und eine betrügerische Aktivität, Kontostreitigkeiten oder Spam melden möchtest, kontaktiere bitte Etsys Support-Team, indem du auf den Link unten auf dieser Seite klickst.

Zur Meldung einer gefälschten oder Phishing-E-Mail, kontaktiere bitte spoof@etsy.com.

Für professionelle Sicherheitsforscher

Was gilt als Bug?

Sicherheitslücken in Webanwendungen wie XSS, CSRF, SQLi, Authentifizierungsprobleme, ferngesteuerte Codeausführung und Autorisierungsprobleme gelten als Bugs. Die Sicherheitslücke muss sich in der Haupt-Website www.etsy.com, der etsy.com-API oder Etsys offizieller mobilen App befinden.

Bitte beachte, dass Systeme, über die wir keine Kontrolle haben (wie Links/Weiterleitungen auf Websites Dritter oder CDNs), von unserem Bounty-Programm ausgeschlossen sind. Du musst die erste Person sein, die uns den Bug auf verantwortungsvolle Weise meldet, du musst die Sicherheitslücke selbst entdeckt haben und du musst verantwortungsvolle Offenlegungsprinzipien einhalten, indem du uns eine angemessene Frist für die Behebung des Problems einräumst, bevor du mit irgendwelchen Informationen an die Öffentlichkeit gehst.

Was gilt nicht als Bug?

Obwohl wir jede Meldung im Einzelfall prüfen, sind im Folgenden einige Beispiele von Problemen aufgeführt, die in der Regel die Anforderungen unseres Bounty-Programms nicht erfüllen:

  • Best Practices. Wir akzeptieren keine Meldungen, die lediglich Konfigurations-/Richtlinienvorschläge sind.

  • Ergebnisse von automatisierten Tools ohne ein Proof-of-Concept (Machbarkeitsnachweis). Ergebnisse, die ohne Proof-of-Concept von Websites wie ssllabs.org oder Sicherheitslücken-Scanner kopiert werden, enthalten in der Regel eine große Anzahl von Falschmeldungen (False Positives).

  • Sicherheitsmeldungen, die sich nicht auf etsy.com beziehen Wenn du eine Meldung für eine Domain einschickst, die nicht in den Gültigkeitsbereich unseres Bounty-Programms fällt, werden wir sie ignorieren.

  • Mängel, die speziell in veralteten Browsern/Plugins auftreten. Mehr über veraltete Browser erfährst du hier.

  • Logout CSRF (Cross-Site-Request-Forgery). Weitere Informationen zu diesem Problem findest du in Blog-Beiträgen zu diesem Thema von Chris Evans und Michal Zalewski.

  • Fehlendes Secure-Flag bei Cookies mit nicht-sensiblen Daten. Wir bieten zum Schutz von Sitzungs-Cookies mit sensiblen Daten auf der gesamten Website SSL als Mechanismus vor Man-in-the-Middle (MITM)-Angriffen (über HSTS). Mehr Informationen zu diesem Thema erhältst du hier: http://codeascraft.com/2012/10/09/scaling-user-security/.

  • Fehlendes HTTPOnly-Flag bei Cookies mit nicht-sensiblen Daten. Wir haben das HTTPOnly-Flag bei Cookies gesetzt, die unserer Meinung nach sensible Daten enthalten, und wir sehen das Fehlen von HTTPOnly bei Cookies nicht als Sicherheitslücke an.

  • Mitgliedsnamen-Enumeration durch Login- oder Passwortrücksetzung. Die Mitgliedsnamen-Enumeration kann in einer Reihe von Webanwendungen eine Sicherheitslücke sein, Etsy ist jedoch ein öffentlicher Marktplatz, so dass Mitgliedsnamen mit Absicht auf verschiedene Weise aufgezählt werden können, beispielsweise Artikel, Forumsbeiträge, Shops usw.

  • CSRF-Problem, das mit einem Proof-of-Concept eingereicht wurde, der eine Nonce enthält. Bitte überprüfe deine Einsendung sorgfältig, um sicherzustellen, dass du uns kein Proof-of-Concept sendest, das eine Nonce enthält.

Dinge, auf die du beim Testen achten solltest

  • Führe keine Tests für Probleme wie Spam, Social Engineering und Denial-of-Service durch.

  • Aufgrund der besonderen Art unseres Marktplatzes verwende bitte keine automatisierten Scanner, ohne den Rahmen stark einzugrenzen. Die Ausführung automatisierter Scanner auf der gesamten Website kann zu Spam in Foren, Teams und Blog-Kommentaren führen. Automatisierte Scanner können außerdem Spam-Nachrichten senden und Artikel in legitimen Etsy-Shops kaufen. Darüber hinaus gilt zu beachten, dass wir automatisierte Blockiermechanismen einsetzen, um Scanner abzufangen. Diese werden dich einen ganzen Tag lang daran hindern, auf die Website zuzugreifen oder uns Bountys über das Bounty-Einsendeformular zuzuschicken. Diese Aktionen stören die Nutzung des Marktplatzes durch unsere Mitglieder und entsprechen nicht dem Sinn unseres Bounty-Programms.

  • Wenn du Nachrichten auf Etsy testen möchtest, nutze dazu unsere speziell dafür vorgesehenen Testkonten und sende keine Nachrichten an legitime Mitglieder der Website. Wenn du den Einstellungsprozess für Artikel testest, musst du alle Artikel sofort nach Abschluss des Tests entfernen.

  • Wenn du Artikel oder andere Shop-Funktionen testen möchtest, versetze deinen Shop in den Entwicklermodus: https://www.etsy.com/developers/shop.

  • Wir behalten uns das Recht vor, deine Testkonten zu deaktivieren und/oder zu sperren, wenn wir feststellen, dass du gegen diese Richtlinien verstößt.

  • Erstelle bitte keine übermäßig hohe Anzahl von Konten für Testzwecke und begrenze deine Testtransaktionen auf geringe Summen (weniger als 1 USD).

Prüfung von Bounty-Meldungen

Das Etsy Security-Team überprüft jede Bounty-Meldung, sobald sie eingeht. Häufig erhalten wir mehrere Meldungen für Probleme, die noch behoben werden müssen, und sehen daher zunächst nach, ob dein Problem bereits gemeldet wurde.

Wenn es sich nicht um eine doppelte Meldung handelt, werden Probleme, die nicht sofort aufgrund der oben genannten Kriterien (wie Geltungsbereich, nicht für das Programm gültige Probleme usw.) aussortiert werden, getestet, um festzustellen, ob sich das Problem reproduzieren lässt. Lässt es sich nicht reproduzieren, werden wir dich per E-Mail um weitere Informationen bitten.

Wir entscheiden dann, ob es sich bei der Meldung tatsächlich um ein Sicherheitsproblem handelt, das behoben werden muss, im Gegensatz zu einem Bug, der die ordnungsgemäße Funktion beeinträchtigt.

Wenn deine Meldung die oben beschriebenen Kriterien erfüllt, bestätigen wir dir per E-Mail, dass wir deine Bounty akzeptieren, und beginnen mit der Behebung des Problems.

Die Bounty

Als Prämie für infrage kommende Sicherheitslücken wird dein Name auf unserer Bug Bounty-Seite veröffentlicht und du erhältst ein Etsy Security Team-T-Shirt. Finanzielle Prämien können nach unserem alleinigen Ermessen für besonders kreative oder schwerwiegende Fehler gezahlt werden. Wenn wir dich auf einer Sicherheitskonferenz treffen, werden wir dir anerkennend auf die Schulter klopfen und allen erzählen, wie toll du bist. 

Sicherheitslücke melden 

Kontaktiere uns bitte über dieses Formular: https://www.etsy.com/bounty

Bitte beachte, dass betrügerische Aktivitäten, Kontostreitigkeiten oder Spam nicht Teil des Bug Bounty-Programms sind und hier gemeldet werden sollten. Melde diese Arten von Problemen bitte an Etsys Support-Team.

Bitte kontaktiere Etsy-Mitarbeiter in Zusammenhang mit deiner Bounty-Einsendung nicht direkt. Wir behalten uns das Recht vor, die Mitgliedschaft im Programm jederzeit und ohne Angabe von Gründen zu verweigern oder zu sperren.

Steuern und Beschränkungen

Folgende Personen sind von der Teilnahme am Programm ausgeschlossen: Minderjährige, in Sanktionslisten aufgeführte Personen oder Personen in Ländern, die auf Sanktionslisten stehen. Du bist für sämtliche steuerlichen Auswirkungen oder zusätzliche Einschränkungen abhängig von deinem Land und lokalen Gesetzen verantwortlich.

Wir behalten uns das Recht vor, dieses Programm jederzeit zu beenden, und die Entscheidung zur Zahlung einer Prämie liegt in unserem alleinigen Ermessen. Du darfst nicht gegen geltende Gesetze verstoßen. Du darfst zudem weder einen Service unterbrechen noch die Daten einer anderen Person kompromittieren.

Wir wissen die Beiträge von Sicherheitsforschern zur Sicherheit unserer Community sehr zu schätzen. Hier findest du eine Liste der Personen, die uns in der Vergangenheit verantwortungsvoll auf Sicherheitslücken aufmerksam gemacht haben.

War dieser Beitrag hilfreich?

Noch Fragen?

Etsy kontaktieren