Belohnungsprogramm für die Meldung von Sicherheitslücken (Security Exploit Bounty Program)

Nur wenn Asana Ihre Einreichung als berechtigt ansieht, haben Sie Anspruch auf eine Belohnung. Für die Prüfung der Berechtigung und der entsprechenden Belohnung verwenden wir die folgenden Richtlinien.

I. Voraussetzungen:

a) Verantwortungsbewusste Offenlegung

Die Sicherheit der Benutzerdaten und der Kommunikation hat für Asana höchste Priorität. Um die bestmögliche Sicherheit für unseren Dienst zu gewährleisten, befürworten wir die verantwortungsbewusste Offenlegung jeder Schwachstelle, die Sie in Asana finden. Zu den Prinzipien einer verantwortungsbewussten Offenlegung gehört unter anderem:

  • Sie können nur auf Ihre eigenen Kundendaten zugreifen oder diese freigeben.
  • Scan-Techniken, die zu einer Verschlechterung des Service für andere Kunden führen könnten (z. B. durch Überlastung der Website), sind zu vermeiden.
  • Die Einzelheiten der Sicherheitslücken müssen so lange geheim gehalten werden, bis Asana benachrichtigt wurde und eine angemessene Zeit hatte, die Lücke zu beheben.
  • Die Richtlinien unserer Nutzungsbedingungen* müssen eingehalten werden.

*Wenn Sie an unserem Bug Bounty-Programm teilnehmen und unabhängig davon, ob Sie Fehler melden oder nicht bzw. ob Sie von Asana eine Belohnung erhalten oder nicht und vorbehaltlich Abschnitt III Belohnungen (siehe unten), gelten die ersten drei Punkte von Abschnitt 5.2 der Allgemeinen Geschäftsbedingungen von Asana ausschließlich in jenem Ausmaß für Sie, in dem Sie am Bug Bounty Programm von Asana teilnehmen. Das bedeutet, dass Sie sich an die oben genannten Grundsätze der verantwortungsbewussten Offenlegung halten. In dem Falle, dass Sie Handlungen vornehmen, die in einem der ersten drei Punkte der Allgemeinen Geschäftsbedingungen genannt werden und in irgendeiner Weise gegen einen der oben genannten Grundsätze der verantwortungsbewussten Offenlegung verstoßen oder anderweitig böswillige Absichten (wie von Asana bestimmt) zeigen, werden diese als Verstoß gegen das Bug Bounty Programm und die Allgemeinen Geschäftsbedingungen von Asana erachtet. Asana hat daraufhin das Recht, die ihm zur Verfügung stehenden Rechtsmittel gemäß geltendem Recht anzuwenden.

b) Reproduktionsfähigkeit

Unsere Experten müssen in der Lage sein, die Sicherheitslücke anhand Ihres Berichts zu reproduzieren. Berichte, die zu vage oder unklar sind, kommen für eine Belohnung nicht in Frage. Berichte, die klar formulierte Erklärungen und einen funktionierenden Code enthalten, haben eine höhere Chance auf eine Belohnung.

II. Ausmaß

Nur wenn Asana Ihre Einreichung als berechtigt ansieht, haben Sie Anspruch auf eine Belohnung. Für die Prüfung der Berechtigung und der entsprechenden Belohnung verwenden wir die folgenden Richtlinien.

Je schwerwiegender der Fehler ist, desto höher fällt die Belohnung aus. Am meisten interessieren uns die Sicherheitslücken bei app.asana.com und asana.com. Andere Subdomains von Asana kommen in der Regel nicht für Belohnungen in Frage, es sei denn, die gemeldete Sicherheitslücke betrifft auf irgendeine Weise auch app.asana.com oder Asana-Kundendaten.

Beispiele für berechtigte Sicherheitslücken

  • Fehler bei der Authentifizierung
  • Umgehung unseres Modells für Plattformberechtigungen und Sichtbarkeitseinstellungen
  • Clickjacking
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Skripte mit gemischtem Inhalt auf app.asana.com
  • Serverseitige Code-Ausführung

Beispiele für nicht berechtigte Sicherheitslücken

  • DoS-Schwachstellen (Denial of Service)
  • Möglichkeiten, schädliche Links an Ihnen bekannte Personen zu senden
  • Sicherheitsfehler in Websites von Dritten, die in Asana integriert sind
  • Skripte mit gemischtem Inhalt auf asana.com
  • Unsichere Cookies auf asana.com
  • Social Engineering-Angriffe gegen den Asana Support
  • Sicherheitslücken, die es erfordern, dass ein potenzielles Opfer nicht standardisierte Software installiert oder anderweitig aktive Schritte unternimmt und dadurch anfällig wird

III. Belohnungen

  • Pro Sicherheitslücke steht nur eine Belohnung zu.
  • Wenn wir mehrere Meldungen für dieselbe Sicherheitslücke erhalten, erhält nur die Person eine Belohnung, die die erste konkrete Meldung abgibt.
  • Unser Belohnungssystem ist flexibel gestaltet: Es gibt keinen Mindest-/Höchstbetrag, die Belohnungen richten sich nach Dringlichkeit und Bedeutung der Sicherheitslücke sowie nach der Qualität der Berichte.
  • Um eine Belohnung zu erhalten, dürfen Sie nicht in einem Land wohnen, das auf einer Sanktionsliste steht (z. B. Kuba, Iran, Nordkorea, Sudan und Syrien). Dies ist ein Programm mit Ermessensfreiheit, und Asana behält sich das Recht vor, das Programm einzustellen. Die Entscheidung, ob Sie eine Belohnung erhalten oder nicht, liegt in unserem Ermessen.

IV. Kontakt

Bitte senden Sie uns Ihre Berichte über Sicherheitslücken oder Fragen zum Programm per E-Mail an security@asana.com.