Brussels Airlines Verantwortungsvolle Offenlegungserklärung

Verantwortungsvolle Offenlegungserklärung

Bei Brussels Airlines gehören die Sicherheit und die unterbrechungsfreie Verfügbarkeit der Online-Services zu den Top-Prioritäten. Unsere Experten arbeiten unablässig an der Optimierung unserer Systeme und Abläufe, doch trotz aller Bemühungen zur Absicherung unserer Systeme können immer noch Schwachstellen vorhanden sein.

Wir gehen allen Berichten über Schwachstellen nach, die unsere Webpräsenz betreffen. Wenn Sie als Sicherheitsexperte tätig sind und denken, eine Schwachstelle gefunden zu haben, bitten wir Sie, uns diese Schwachstelle zu melden, damit wir gemeinsam an der Verbesserung der Sicherheit und Zuverlässigkeit unserer Systeme arbeiten können.

Sie können Schwachstellen melden, indem Sie sich dem Fehlersuche-Belohnungsprogramm von Intigriti anschließen und sich als Sicherheitsforscher registrieren:
https://www.intigriti.com

Intigriti ist eine Crowdsourcing-Sicherheitsplattform, die als Treffpunkt für Sicherheitsexperten und Unternehmen fungiert. Als ethische Hacking- und Fehlersuche-Plattform zielt Intigriti darauf ab, Schwachstellen auf kosteneffiziente Weise zu identifizieren und zu beheben. Die Plattform ermöglicht Online-Sicherheitstests in Zusammenarbeit mit erfahrenen Forschern.

Kann ich für meine Meldung belohnt werden?

Als Intigriti-Forscher können Sie gutes Geld verdienen. Wenn Sie bereit sind, mit Ihren verantwortungsbewussten Hackingaktivitäten an die Öffentlichkeit zu gehen, können Sie finanzielle Vergütungen erhalten. Intigriti zahlt Belohnungen aus für jeden Bug, den Sie finden und als erster Forscher melden können. Bitte beachten Sie, dass Intigriti keine Anmeldungen seitens anonymer Forscher annimmt.

Vielen Dank!

Wenn Ihre Meldung einer Schwachstelle gültig ist und Sie gerne für Ihren Beitrag anerkannt werden möchten, tragen wir Sie gerne - namentlich oder anonym - in unsere „Brussels Airlines InfoSec Hall of Fame“ ein. Keine Sorge, wir fügen Sie nur zu unserer „Hall of Fame“ hinzu, wenn Sie dies ausdrücklich wünschen.

Kann ich eine Schwachstelle auch anonym melden?

Falls Sie Ihren Namen und Ihre Kontaktangaben nicht mitteilen möchten, können Sie eine Schwachstelle auch direkt an Brussels Airlines melden. Sie sollten jedoch bedenken, dass wir ohne diese Informationen nicht in der Lage sein werden, die nächsten Schritte mit Ihnen zu besprechen oder Sie in unsere „Hall of Fame“ einzutragen.

Um eine Schwachstelle direkt an uns zu melden, senden Sie bitte eine E-Mail an unser Sicherheitsteam:
InfoSec@brusselsairlines.com

Unsere Experten werden Ihren Bericht lesen und sich sofort an die Arbeit machen.

Stellen Sie bitte sicher, dass Ihre E-Mail klar und knapp ist. Geben Sie insbesondere die folgenden Informationen an:

  • Beschreibung der entdeckten Schwachstelle oder des Risikos
  • Nachweis der Entdeckung (z.B. Konzeptnachweis (Proof of Concept), Video, Bildschirmfoto, usw.)
  • Die Schritte, die Sie zur Entdeckung unternommen haben
  • Vollständige URL
  • Möglicherweise betroffene Objekte

Beispiele für Schwachstellen sind z. B.:

  • Cross-Site-Scripting-Schwachstellen (XSS)
  • SQL-Injection-Schwachstellen
  • Entfernte Ausführung von Code (Remote Code Execution)
  • Umgehung von Authentifizierungsverfahren
  • Verschlüsselungsschwachstellen

Regeln für den Test auf Schwachstellen

Um zu gewährleisten, dass Ihre Tests sich im legalen Rahmen bewegen, sollten Sie keine invasiven oder destruktiven Techniken einsetzen. Beachten Sie immer die folgenden Regeln:

  • Stören oder unterbrechen Sie unsere Online-Services nicht.
  • Verwenden Sie keine Techniken, die die Verfügbarkeit unserer Online-Services beeinträchtigen können.
  • Nehmen Sie keine Veränderungen am System vor.
  • Verändern und löschen Sie keine Daten im System.
  • Falls Ihre Entdeckung eine Kopie der Daten aus dem System benötigt, kopieren Sie nicht mehr Daten, als für Ihre Untersuchung notwendig. Wenn ein Datensatz genügt, kopieren Sie nicht mehr.
  • Veröffentlichen Sie keine Kunden- oder Geschäftsdaten.
  • Erstellen Sie niemals eine Hintertür (Backdoor) in ein System.
  • Versuchen Sie nicht mehr als notwendig, in das System einzudringen. Falls Sie erfolgreich in das System eindringen, teilen Sie den erlangten Zugang nicht mit anderen.
  • Verwenden Sie keine Brute-Force-Techniken (z.B. wiederholte Eingabe von Passwörtern), um Zugang zum System zu erlangen.
  • Verwenden Sie kein Social Engineering, um Zugang zu unseren IT-Systemen zu erhalten.

Richtlinien für die Meldung von Schwachstellen

Zur Gewährleistung des besten Ergebnisses beachten Sie bitte die folgenden Richtlinien:

  • Erstellen Sie Ihren Bericht auf Niederländisch, Französisch oder Englisch. Berichte in anderen Sprachen werden nicht bearbeitet.
  • Teilen Sie uns genügend Einzelheiten mit, damit wir die Schwachstelle nachvollziehen können.
  • Lassen Sie uns ausreichend Zeit, die Schwachstelle zu beheben, bevor Sie irgendwelche Informationen öffentlich zugänglich machen.
  • Nehmen Sie bitte Rücksprache mit uns, bevor Sie Informationen veröffentlichen.
  • Verlangen Sie von Brussels Airlines keine Vergütung für Ihren Bericht.

Unser Engagement betreffend die Meldung von Schwachstellen

Sie können die folgenden Zusagen von uns erwarten:

  • Wir teilen Ihnen mit, dass wir Ihren Bericht erhalten haben.
  • Wir teilen Ihnen mit, wie lange wir schätzungsweise für die Behebung des Problems brauchen werden.
  • Wir teilen Ihnen mit, wenn wir die Schwachstelle behoben haben.

Ihre Privatsphäre

Ihre personenbezogenen Daten werden ausschließlich dazu genutzt, Sie in Bezug auf Ihre Meldung einer Schwachstelle zu kontaktieren. Ohne Ihre Erlaubnis geben wir Ihre personenbezogenen Daten nicht an Dritte weiter. Falls wir gesetzlich dazu verpflichtet sind, Ihre personenbezogenen Daten an eine Behörde zu übermitteln, stellen wir sicher, dass die jeweilige Behörde Ihre persönlichen Daten vertraulich behandelt. Wir bleiben für Ihre personenbezogenen Daten verantwortlich.

Vielen Dank für Ihre Unterstützung.
Information Security Team - Brussels Airlines

Letzte Aktualisierung: März 2019