Testergebnisse bezüglich Covid Certificate melden

Beschreiben Sie Ihre Entdeckung/ Ihr Testergebnis so detailliert wie möglich, denn dies erlaubt uns, die Beobachtung zu reproduzieren und möglichst schnell zu beheben. Idealerweise besteht Ihre Meldung aus einer ausführlichen Beschreibung und den entsprechenden Auswirkungen. Sie können auch zusätzliches Material wie z. B. Screenshots hochladen.

Wir machen Sie darauf aufmerksam, dass wir über das untenstehende Formular weder allgemeine Fragen zur Bedienung der App noch Medienanfragen entgegennehmen.

Melden von Testergebnissen

Zusammenfassung /Stichwort

*

Kurze Beschreibung der Schwachstelle (max. 250 Zeichen).

Beschreibung

*

Beschreiben Sie Ihre Entdeckung so detailliert wie möglich, um uns zu ermöglichen, das Problem zu reproduzieren.

Auswirkungen

Beschreiben Sie die Auswirkung Ihrer Entdeckung. Was ist betroffen?

Lösungsansatz / Mitigation

Wenn vorhanden, kann hier ein Lösungsansatz beschrieben werden.

Datei Upload

Verwenden Sie für die Dokumentation ASCII Text- (z.B. Markdown), pdf- oder png-Dateien.

Rahmenbedingungen (Scope) und Regeln (Rules of Engagement) des Public Security Tests

Ich akzeptiere die Rahmenbedingungen und Regeln.

*

Persönliche Informationen (optional)

Sie können hier Ihre persönlichen Informationen angeben. Dies ermöglicht uns mit Ihnen in Kontakt zu treten, falls wir zu Ihrer Anmerkung noch Fragen haben. Sie können ebenfalls angeben, ob wir Ihren Namen öffentlich nennen dürfen.

Name

Vorname

Nickname/Alias

Dieser Name erscheint bei den Credits.

Email

PGP-Key

Hier können Sie Ihren öffentlichen PGP-Schlüssel anhängen.

Telefonnummer

Ich möchte, dass Sie meinen Namen zusammen mit dem Testergebnis auf dieser Seite veröffentlichen.

Definition Schweregrad

Der Schweregrad kann mittels "Common Vulnerability Scoring System" (CVSS) bestimmt werden. Die Webseite des Forums of Incident Response and Security Teams stellt hierzu ein interaktives Werkzeug zur Verfügung: https://www.first.org/cvss/calculator/3.0

Critical (CVSS v3 Score: 9.0-10.0): Bei kritischen Ereignissen ist typischerweise keine Interaktion seitens Zielperson notwendig. Entsprechend benötigt ein Angreifer keine besonderen Kenntnisse über eine Zielperson. Typisch für ein kritisches Ereignis ist eine Remote Code Execution. Auswirkungen sind beispielsweise der Abfluss persönlicher Daten oder der Verlust der Anonymität.

High (CVSS v3 Score 7.0-8.9): Für eine erfolgreiche Ausnutzung sind Benutzeraktionen (Social Engineering) notwendig. Der Angreifer kann so zu erweiterten Privilegien gelangen. Auswirkungen können auch hier Datenabflüsse sein.

Medium (CVSS v3 Score: 4.0-6.9): Bei einer Ausnutzung wird nur eingeschränkter Zugang gewährt. Zudem muss der Angreifer sich im gleichen System des Opfers befinden. Daten sind nicht oder nur bedingt betroffen.

Low (CVSS v3 Score: 0.1-3.9): Der Effekt wirkt sich nicht auf die Funktionalität oder die Daten aus. Unter diese Kategorie fallen auch Layout-Fehler und Rechtschreibfehler.