Navigation

Information:
Mehr Informationen Schliessen
 

Login/Benutzerkonto-Feld

Meta Navigation

Globale Navigation

Globale Suche

Bug Bounty

Bug Bounty: Sicherheitslücken schliessen

Mit unserem Bug Bounty Programm unterstützen wir die Meldung und rasche Behebung von Sicherheitslücken (Bugs) in unseren Produkten und Dienstleistungen. Sowohl Privatpersonen wie auch Organisationen laden wir ein, unserem Computer Security Incident Response Team (CSIRT) Schwachstellen zu melden.





Schwachstelle melden

Bitte melden Sie eine Sicherheitslücke per E-Mail an:

bug.bounty@swisscom.com


PGP key id 679603F0
PGP fingerprint A387 0022 1F33 4B4B 77F5 DFE3 E372 59A7 6796 03F0
PGP public key public key
Postal address
Swisscom (Schweiz) AG
GSE-MON
Pfingstweidstrasse 51
CH-8005 Zürich




Inhalt der Meldung

Die Meldung muss alle notwendigen Informationen zur Nachvollziehbarkeit der Sicherheitslücke enthalten. Dazu gehören:

  • Typ der Sicherheitslücke
  • Genaue Angaben zum betroffenen Produkt/Service
  • Angemessen klare und nachvollziehbare Beschreibung der notwendigen Schritte zur Ausnutzung der Sicherheitslücke
  • Zusätzliche Informationen wie PoC-Skripte, Screenshots, HTTP-Requests etc.




Grundsatz

Bei der Zusammenarbeit zwischen Swisscom und der Security-Community halten sich alle Beteiligten an die folgenden Regeln:

  • Die Veröffentlichung der Sicherheitslücke erfolgt nach dem «Responsible Disclosure» Prinzip (siehe unten)
  • Die Meldung erfolgt ausschliesslich an Swisscom
  • Alle Aktivitäten, die zur Entdeckung einer Sicherheitslücke führen, bewegen sich im gesetzlich zulässigen Rahmen
  • Bounties können vergeben werden. Die Höhe der Bounties orientiert sich an der Kritikalität der Schwachstelle und an der Qualität der an Swisscom übermittelten Dokumentation.
  • Die Ausnutzbarkeit der Schwachstelle muss nachweislich verifiziert werden können. Alleine das Fehlen eines Sicherheitsfeatures oder zu viele preisgegebene, nicht-sensitive Informationen gelten nicht als Schwachstelle.




Responsible Disclosure

Swisscom versteht unter «Responsible Disclosure»:

  • Swisscom hat ausreichend Zeit, in der Regel mindestens 90 Tage, die Schwachstelle zu verifizieren und zu beheben
  • Die Tests dürfen Dienstleistungen und Produkte der Swisscom nicht beeinträchtigen
  • Daten Dritter dürfen weder ausgespäht noch weitergegeben werden
  • Es dürfen keine Drittparteien über die Schwachstelle informiert werden
  • Forderungen im Zusammenhang mit der Meldung einer Schwachstelle werden nicht berücksichtigt




Verfahren

Das Swisscom CSIRT verantwortet ein standarisiertes Verfahren, um extern gemeldete Schwachstellen anzunehmen, zu beheben und gegebenenfalls koordiniert zu veröffentlichen.





Behobene Schwachstellen


ID Betroffenes Produkt Credits
CVE-2015-6498 Home Device Manager, Alcatel-Lucent Dr. Ulrich Fiedler,
BFH-TI Biel/Bienne
CVE-2015-1188 Swisscom DSL Router Centro Grande (ADB), ADB Ivan Almuina
CVE-2015-1187 D-Link DIR636L, D-Link Tiago Caetano Henriques
CVE-2014-3809 1830 Photonic Service Switch, Alcatel-Lucent Stephan Rickauer