Meta Navigation

Bug Bounty


Bug Bounty: Sicherheitslücken schliessen

Mit unserem Bug Bounty Programm unterstützen wir die Meldung und rasche Behebung von Schwachstellen in unseren Produkten und Dienstleistungen. Sowohl Privatpersonen wie auch Organisationen laden wir ein, unserem Computer Security Incident Response Team (CSIRT) Schwachstellen zu melden.







Schwachstelle melden

Bitte melden Sie eine Schwachstelle direkt via unser Portal:

Bug Bounty Portal 


Für alle anderen Anfragen zum Bug Bounty Programm sind wir per E-Mail erreichbar:

bug.bounty@swisscom.com


PGP key id 679603F0
PGP fingerprint A387 0022 1F33 4B4B 77F5 DFE3 E372 59A7 6796 03F0
PGP public key public key
Postal address
Swisscom (Schweiz) AG
GSE-MON
Pfingstweidstrasse 51
CH-8005 Zürich






Inhalt der Meldung

Die Meldung muss alle notwendigen Informationen zur Nachvollziehbarkeit der Schwachstelle enthalten. Dazu gehören:
 

  • Typ der Schwachstelle
  • Genaue Angaben zum betroffenen Produkt/Service
  • Angemessen klare Beschreibung der Schwachstelle mit allen nötigen Informationen um das betroffene System zu identifizieren
  • Die Ausnutzbarkeit der Schwachstelle muss nachweislich verifiziert werden können, z.B. mit einer schrittweisen Anleitung
  • Zusätzliche Informationen wie PoC-Skripte, Screenshots, HTTP-Requests etc.

Nicht berücksichtigt werden Meldungen zu folgenden Schwachstellen oder Systemen:
 

  • Alleine das Fehlen eines Sicherheitsfeatures oder zu viele preisgegebene, nicht-sensitive Informationen gelten nicht als Schwachstelle. Wie z.B.:
    •    Information Disclosure ohne sensitive Daten preiszugeben
    •    Clickjacking
    •    Open Redirects
  • Schwachstellen auf Systemen mit diesen Domains: *.cust.swisscom.ch
  • Meldungen zu Fastweb






Grundsatz

Bei der Zusammenarbeit zwischen Swisscom und der Security-Community halten sich alle Beteiligten an die folgenden Regeln:
 

  • Die Veröffentlichung der Schwachstelle erfolgt nach dem «Responsible Disclosure» Prinzip (siehe unten)
  • Die Meldung erfolgt ausschliesslich an Swisscom
  • Alle Aktivitäten, die zur Entdeckung einer Schwachstelle führen, bewegen sich im gesetzlich zulässigen Rahmen
  • Bounties können vergeben werden. Die Höhe der Bounties orientiert sich an der Kritikalität der Schwachstelle und an der Qualität der an Swisscom übermittelten Dokumentation.






Responsible Disclosure

Swisscom versteht unter «Responsible Disclosure»:
 

  • Swisscom hat ausreichend Zeit, in der Regel mindestens 90 Tage, die Schwachstelle zu verifizieren und zu beheben
  • Die Tests dürfen Dienstleistungen und Produkte der Swisscom nicht beeinträchtigen
  • Daten Dritter dürfen weder ausgespäht noch weitergegeben werden
  • Es dürfen keine Drittparteien über die Schwachstelle informiert werden
  • Forderungen im Zusammenhang mit der Meldung einer Schwachstelle werden nicht berücksichtigt






Verfahren

Das Swisscom CSIRT verantwortet ein standarisiertes Verfahren, um extern gemeldete Schwachstellen anzunehmen, zu beheben und gegebenenfalls koordiniert zu veröffentlichen.







Behobene Schwachstellen


ID Betroffenes Produkt Credits
CVE-2016-10042 Swisscom Internet Box (Arcadyan) Mateusz Khalil
2016-6270433 Swisscom DSL Router Centro Grande (ARRIS/Motorola) Matthias Galliker
CVE-2015-6498 Home Device Manager, Alcatel-Lucent Dr. Ulrich Fiedler,
BFH-TI Biel/Bienne
CVE-2015-1188 Swisscom DSL Router Centro Grande (ADB), ADB Ivan Almuina
CVE-2015-1187 D-Link DIR636L, D-Link Tiago Caetano Henriques
CVE-2014-3809 1830 Photonic Service Switch, Alcatel-Lucent Stephan Rickauer