LEITLINIEN

Um bei unserem Vulnerability Disclosure Programm mitzumachen, ist folgendes zu beachten.

Von Bounties ausgenommen sind die gesetzlichen Vertreter, aktuelle und ehemalige Mitarbeiter der Firmengruppe Gameforge AG und deren verbundenen Unternehmen sowie deren Angehörige. Minderjährige dürfen nur mit der Zustimmung des gesetzlichen Vertreters teilnehmen.

Außerdem beachte bitte folgendes:

  • Du hast im Rahmen der Sicherheitsuntersuchungen alle Bemühungen unternommen / Vorkehrungen getroffen, den geprüften Dienst in seiner Verfügbarkeit nicht einzuschränken.
  • Du hast keine Daten Dritter ausgespäht und weitergegeben.
  • Du hast Dritte nicht über die Schwachstelle informiert.

    • Siehe auch: Regeln für Dich

Bug melden

Fülle bitte alle Felder des Formulars aus. Nur so können wir deine Meldung schnell bearbeiten.

Bitte gib das Produkt an, bei dem du die Schwachstelle entdeckt hast.
Bitte gib eine gültige E-Mail Adresse.
Bitte wählen
  • Sonstiges
  • Fehler in der Zugriffskontrolle
  • Fehler in der Verschlüsselung
  • Injection-Schwachstellen
  • Anwendungsdesignfehler
  • Sicherheitsrelevante Fehlkonfiguration
  • Verwundbare und veraltete Komponenten
  • Fehler in der Identifizierung und Authentifizierung
  • Unzureichender Schutz der Integrität von Software oder Daten
  • Cross-Site Scripting (XSS)
  • Client- und Server-Side Request Forgery (CSRF/SSRF)
Bitte wähle eine Schwachstelle aus
Bitte beschreibe die Schwachstelle
Wie beschreibe ich die Schwachstelle am besten?
Bitte beschreibe uns hier ausführlich die Schwachstelle. Z.B. wie man sie ausnutzt (ggf. PoC), Browser und sonstige Einstellungen, die notwendig sind, um das Problem zu reproduzieren.

Vielen Dank für die Meldung der Schwachstelle!

Wir kümmern uns darum, dass dein gemeldeter Bug so schnell wie möglich in Quarantäne kommt!


  • Wir kümmern uns zügig um deine Meldung.
  • Wir halten dich auf dem Laufenden.
  • Wenn du dich an die nachfolgenden Regeln hältst, wirst du für Hacks nicht rechtlich belangt.

Jagd auf Sicherheits-Bugs!

Wir wollen Spielern auf der ganzen Welt die Möglichkeit geben, Schwachstellen in unseren Anwendungen zu melden.

Keine Technologie ist perfekt, und Gameforge ist davon überzeugt, dass die Zusammenarbeit mit qualifizierten Sicherheitsforschern auf der ganzen Welt von entscheidender Bedeutung ist, um Schwachstellen in zu identifizieren. Wenn du glaubst, ein Sicherheitsproblem in unserem Produkt oder Service gefunden zu haben, bitten wir, uns dies mitzuteilen. Wir arbeiten gerne mit dir zusammen, um das Problem umgehend zu beheben.

Interessiert? Alle wichtigen Infos findest du in den FAQ und Regeln.

Teilnahme am Vulnerability Disclosure Programm

Voraussetzungen

Um bei unserem Vulnerability Disclosure Programm mitzumachen, ist folgendes zu beachten:

Von potenzielle Bounties ausgeschlossen sind die gesetzlichen Vertreter, aktuelle und ehemalige Mitarbeiter der Gameforge-Gruppe und deren verbundenen Unternehmen sowie deren Angehörige.

Minderjährige dürfen nur mit der Zustimmung des gesetzlichen Vertreters teilnehmen.

Regeln für Gameforge

Wir kümmern uns darum, dass dein gemeldeter Bug so schnell wie möglich in Quarantäne kommt!

  • Wir kümmern uns zügig um deine Meldung.
  • Wir halten dich auf dem Laufenden.
  • Wenn du dich an die nachfolgenden Regeln hältst, wirst du für Hacks nicht rechtlich belangt.

Regeln für dich

Damit niemand zu Schaden kommt und alles legal abläuft, halte dich bitte an folgende Regeln:

  • Du darfst nicht auf Accounts von Dritten (Spieler, Mitarbeiter, usw.) zugreifen, noch darfst du diese verändern oder anderweitig beeinträchtigen. Wo es möglich ist, solltest du für das Testen auf Schwachstellen nur eigene Accounts verwenden.
  • DDoS-/Spam-Attacken und sonstige Angriffe – einschließlich Social Engineering und Phishing – gegen unsere Infrastruktur sind nicht erlaubt.
  • Eventuelle Schwachstellen dürfen nicht zum eigenen Vorteil oder zum Vorteil bzw. Nachteil Dritter genutzt werden.
  • Eventuelle Schwachstellen sind ausschließlich Gameforge mitzuteilen und dürfen nicht veröffentlicht oder an Dritte weitergegeben werden, bevor wir diese nicht behoben haben.
  • Die Verwendung von Scanner-Tools sowie automatisierter Tests ist untersagt.
  • Social Engineering (einschließlich Phishing) von Gameforge-Mitarbeitern oder Spielteams ist nicht gestattet.
  • Es dürfen ausschließlich die unten aufgeführten Webseiten (die von Gameforge betrieben und entwickelt wurden) auf Schwachstellen untersucht werden.
Was kann gemeldet werden?

Schwachstellen, die nicht gemeldet werden müssen

Damit wir uns auf die dringlichen Schwachstellen konzentrieren können, bitten wir dich, folgende Fälle nicht zu melden:

  • Schwachstellen, die nur auf veralteten Browser oder Plugins beruhen
  • Schwachstellen, die äußerst unwahrscheinliche Benutzerinteraktion erfordern (z.B. manuelles Copy&Paste oder absichtliches Deaktivieren von Security Features)
  • Unsichere Cookie-Einstellungen für Cookies ohne vertrauliche Daten
  • Offenlegung von Informationen, die kein Risiko aufweisen oder öffentlich zugänglich sind
  • Schwachstellen, die wir bereits gemeldet bekommen haben, uns also bereits bekannt sind
  • Schwachstellen in Third Party Software, die von Gameforge verwendet wird
  • Schwachstellen/Bugs, die in den Prämien nicht unter den Gameforge-Anwendungen aufgeführt sind

Wo kann ich nach Bugs suchen?

Damit du nicht planlos auf Bugsuche gehen musst, haben wir die wichtigsten Anwendungen für dich bereitgestellt.

Gameforge entwickelt und betreibt unterschiedliche Web-Anwendungen sowie Spiele, bietet zudem unterschiedliche von Dritten entwickelte Spiele an und nutzt von Dritten entwickelte Anwendungen.

Etwaige Schwachstellen in Software, die nicht von uns entwickelt wurden, können vom Vulnerability Disclosure Programm ausgeschlossen sein. Über weitergehende Hinweise freuen wir uns natürlich jederzeit und bieten an, diese an die jeweiligen Entwicklerstudios in deinem Namen weiterzuleiten – wenn dies gewünscht ist.

Um Missverständnisse zu vermeiden, findest du in den FAQ eine Aufstellung der Domains, die für das Vulnerability Disclosure Programm berücksichtigt werden. Zur Auflistung

Sind noch Fragen offen?

FAQ - Häufig gestellte Fragen

Hier findest du Antworten auf die häufig gestellten Fragen. Hast du eine Frage, die hier nicht beantwortet wurde, kannst du deine Frage jederzeit an vdp@gameforge.com schicken.

Welche Domains machen beim Vulnerability Disclosure Programm mit?

Auf den folgenden Domains kannst du auf Bugsuche gehen:

  • *.gameforge.com
  • *.gameforge.de
  • *.gfsrv.net
  • Unserer Spiele

Du hast über diese Domains hinaus einen Bug in einer anderen Gameforge-Anwendung gefunden? Über diese Hinweise freuen wir uns natürlich jederzeit und bieten an, diese an die jeweiligen Entwicklerstudios in deinem Namen weiterzuleiten – wenn dies gewünscht ist.

ALLES ANZEIGEN

Out-of-Scope Vulnerabilities

Zusätzlich zu die Themen in Schwachstellen, die nicht gemeldet werden müssen, sind die folgende Themen nicht Bestandteil vom Vulnerability Disclosure Program:


  • Angriffe, die physischen Zugriff auf das Gerät eines Benutzers erfordern
  • Self-XSS (wir benötigen einen Nachweis darüber, wie der XSS für einen Angriff auf einen anderen Gameforge-Nutzer verwendet werden kann)
  • Probleme ohne klar identifizierte Sicherheitsauswirkungen, wie z.B. Clickjacking auf einer statischen Website, fehlende Sicherheits-Header oder verständliche Fehlermeldungen
  • Fehlen von CSRF-Tokens (außer bei kritische Benutzeraktionen, die nicht durch ein Token geschützt sind)
  • Login/Logout CSRF
  • Vorhandensein/Fehlen von SPF- und DMARC-Einträgen
  • Host-Header-Injektionen, außer wenn sie zum Diebstahl von Benutzerdaten führen können
  • Fehlende Sicherheitsheader, die nicht direkt zu einer Sicherheitslücke führen
  • Sicherheitslücken, die nur Benutzer von veralteten oder ungepatchten Browsern und Systeme betreffen
  • Passwort-, E-Mail- und Kontorichtlinien, z. B. Überprüfung der E-Mail-Adresse, Ablauf des Rücksetz-Links, Passwortkomplexität
  • Verwendung einer bekanntermaßen anfälligen Bibliothek (ohne Nachweis der Ausnutzbarkeit)
  • Berichte von automatischen Tools oder Scans
  • Berichte über unsichere SSL/TLS-Chiffren
  • Jegliches DLL-Hijacking, außer wenn neue Privilegien erlangt werden können
  • Fehlendes Rate-limiting, außer bei der Authentifizierung
ALLES ANZEIGEN

Was muss ich beachten?

Um bei unserem Vulnerability Disclosure Programm mitzumachen, ist folgendes zu beachten:

Von Bounties ausgenommen sind die gesetzlichen Vertreter, aktuelle und ehemalige Mitarbeiter der Firmengruppe Gameforge AG und deren verbundenen Unternehmen sowie deren Angehörige. Minderjährige dürfen nur mit der Zustimmung des gesetzlichen Vertreters teilnehmen.


  • Die Gameforge hat ausreichend Zeit zur Reaktion und Fehlerbehebung.
  • Du hast im Rahmen des Sicherheitsuntersuchens alle Bemühungen unternommen und Vorkehrungen getroffen, den geprüften Dienst in seiner Verfügbarkeit nicht einzuschränken.
  • Du hast keine Daten Dritter ausgespäht und weitergegeben.
  • Du hast Dritte nicht über die Schwachstelle informiert.

Siehe auch: Regeln für dich

ALLES ANZEIGEN

Bug melden

Bug gefunden?

Dann melde ihn uns und wir kümmern uns um alles weitere!