Bei Criteo steht die Sicherheit unserer Produkte und Dienstleistungen an oberster Stelle. Unser Ziel ist es, unseren Kunden und User die bestm\u00f6gliche Erfahrung zu bieten und sicherzustellen, dass die uns anvertrauten Informationen und Daten gesch\u00fctzt sind. Aus diesem Grund setzen wir auch auf die verantwortungsvolle und ethische Offenlegung potenzieller Sicherheitsl\u00fccken durch Sicherheitsforscher und die \u00d6ffentlichkeit. Diese Richtlinie legt unsere Erwartungen an die verantwortungsvolle Meldung von Schwachstellen sowie den Ablauf der Bearbeitung fest.<\/p>\n
Wenn ihr euch im Rahmen eurer Forschung an diese Richtlinie haltet, betrachtet Criteo eure Handlungen als autorisiert und wird keine rechtlichen Schritte gegen euch einleiten.<\/p>\n
Wenn ihr uns ein Problem gem\u00e4\u00df dieser Richtlinie meldet, k\u00f6nnt ihr Folgendes von uns erwarten:<\/p>\n
Wir reagieren innerhalb von 3 Werktagen auf euren Report und arbeiten mit euch zusammen, um das Problem zu verstehen und zu beheben.<\/p>\n
Wir ergreifen so schnell wie m\u00f6glich Ma\u00dfnahmen, um die Schwachstellen, die im Report gemeldet wurden, zu beheben \u2013 sofern es sich nicht um ein von uns akzeptiertes Risiko handelt.<\/p>\n
Wir halten euch \u00fcber unsere Fortschritte bei der Behebung des Problems auf dem Laufenden.<\/p>\n
Wir behandeln Informationen \u00fcber euch und die von euch gemeldete Schwachstelle vertraulich, sofern keine anderweitige Vereinbarung mit euch besteht.<\/p>\n
Wir verg\u00fcten euer Engagement gem\u00e4\u00df den Angaben im Abschnitt zur Verg\u00fctung.<\/p>\n
Damit eure Forschung im Rahmen dieser Richtlinie als autorisierte Aktivit\u00e4t gilt, m\u00fcsst ihr folgende Bedingungen erf\u00fcllen:<\/p>\n
Handelt in gutem Glauben und vermeidet die missbr\u00e4uchliche, f\u00fcr Criteo und\/oder unsere Kunden sch\u00e4dliche Nutzung der Systeme und Anwendungen.<\/p>\n
Bitte benachrichtigt uns, sobald ihr ein tats\u00e4chliches oder potenzielles Sicherheitsproblem entdeckt.<\/p>\n
Ver\u00f6ffentlicht das Problem erst, nachdem wir eine L\u00f6sung implementiert haben und auf Basis einer gegenseitigen Vereinbarung. Diese Vereinbarung regelt den Zeitpunkt der Offenlegung sowie den Detailgrad der dabei bereitgestellten Informationen.<\/p>\n
Folgendes ist euch untersagt:<\/p>\n
Das Abrufen, \u00c4ndern oder L\u00f6schen von Daten aus Accounts, die ihr nicht selbst erstellt habt.<\/p>\n
Der Einsatz hochintensiver, invasiver oder zerst\u00f6rerischer Werkzeuge.<\/p>\n
Das Einreichen einer gro\u00dfen Anzahl minderwertiger Reports (z. B. indem ihr lediglich die Ergebnisse von Scannern bereitstellt).<\/p>\n
Die Verwendung einer oder mehrerer der folgenden Testmethoden:<\/p>\n
Netzwerk-Denial-of-Service (DoS- oder DDoS)-Tests oder andere Tests, die den Zugriff auf ein System oder Daten beeintr\u00e4chtigen oder besch\u00e4digen.<\/p>\n
Physische Tests (z. B. B\u00fcrozugang, offene T\u00fcren, Tailgating).<\/p>\n
Social Engineering (z. B. Phishing, Vishing) oder jede andere nicht-technische Schwachstellenpr\u00fcfung.<\/p>\n
Die Weitergabe euer Ergebnisse an externe Parteien ohne vorherige schriftliche Genehmigung von Criteo.<\/p>\n
Ausnutzen eines Exploits, um Daten zu kompromittieren oder zu exfiltrieren, einen dauerhaften Kommandozeilen-Zugang einzurichten oder um weitere Systems zu infiltrieren. Exploits sollten nur in dem Ma\u00dfe verwendet werden, wie es n\u00f6tig ist, das Vorhandensein einer Schwachstelle zu best\u00e4tigen. Wenn ihr Zweifel habt, erstellt bitte einen Report, damit wir das Problem best\u00e4tigen k\u00f6nnen.<\/p>\n
Sobald ihr festgestellt habt, dass eine Schwachstelle existiert oder ihr auf sensible Daten sto\u00dft (einschlie\u00dflich PII, finanzieller Informationen oder propriet\u00e4rer Informationen beziehungsweise Gesch\u00e4ftsgeheimnissen irgendeiner Partei), seid ihr verpflichtet, euren Test sofort beenden und uns unverz\u00fcglich benachrichtigen. Unter keinen Umst\u00e4nden d\u00fcrft ihr diese Daten und Informationen an Dritte weitergeben.<\/p>\n
Diese Richtlinie gilt f\u00fcr alle digitalen Assets, die Criteo geh\u00f6ren, bzw. von Criteo betrieben oder gewartet werden. Ausgenommen sind externe Dienste, die \u00fcber eine unserer Subdomains zug\u00e4nglich sind oder in eines unserer Produkte integriert wurden.<\/p>\n
Detaillierte und aktuelle Informationen zum G\u00fcltigkeitsbereich findet ihr in unserer BugCrowd-Richtlinie.<\/p>\n
Criteo kann allen, die Sicherheitsprobleme verantwortungsbewusst und ethisch an uns melden, Anerkennung und Pr\u00e4mien zukommen lassen \u2013 vorausgesetzt, sie halten diese Richtlinie ein. Die H\u00f6he der Pr\u00e4mie, falls eine gew\u00e4hrt wird, richtet sich nach unserem Ermessen anhand verschiedener Parameter, unter anderem der Schwere der Schwachstelle, deren Auswirkungen und der Qualit\u00e4t des Reports.<\/p>\n
Im Allgemeinen variiert die Pr\u00e4mie von 175 USD f\u00fcr Schwachstellen mit geringer Auswirkung bis zu 4500 USD f\u00fcr die extrem kritische Probleme.<\/p>\n
Bitte beachtet, dass alle Pr\u00e4mien \u00fcber unser privates Programm auf BugCrowd abgewickelt werden. Um eine Pr\u00e4mie zu erhalten, ben\u00f6tigt ihr einen BugCrowd Account.<\/p>\n
Criteo zahlt Bug-Bounty-Pr\u00e4mien ausschlie\u00dflich \u00fcber BugCrowd aus. Um eine potenzielle Sicherheitsl\u00fccke zu melden, erstellt ihr bitte einen Report auf dieser Plattform, der eine detaillierte Beschreibung enth\u00e4lt und die Schritte auff\u00fchrt, mit denen wir eure Ergebnisse reproduzieren k\u00f6nnen.<\/p>\n
Solltet ihr aktuell nicht an unserem internen Bug-Bounty-Programms teilnehmen, schickt bitte eine E-Mail mit eurem BugCrowd-Handle an security@criteo.com; wenn ihr unsere Zulassungskriterien erf\u00fcllt, senden wir euch eine Einladung.<\/p>\n
Um eine potenzielle Sicherheitsl\u00fccke zu melden, k\u00f6nnt ihr auch eine E-Mail an security@criteo.com senden, die eine detaillierte Beschreibung des potenziellen Problems enth\u00e4lt und die Schritte auff\u00fchrt, mit denen wir eure Ergebnisse reproduzieren k\u00f6nnen.<\/p>\n
Wenn ihr Criteo-Kunde seid, beachtet bitte, dass wir neben unserem Bug-Bounty-Programm auch regelm\u00e4\u00dfige Penetrationstests durchf\u00fchren \u2013 deren Ergebnisse ihr bei eurem Criteo-Ansprechpartner anfordern k\u00f6nnt.<\/p>\n
Wenn ihr Fragen zu dieser Richtlinie oder zur Informationssicherheit bei Criteo habt, kontaktiert uns bitte unter security@criteo.com.<\/p>\n
Vielen Dank f\u00fcr eure Bem\u00fchungen um die Sicherheit bei Criteo. Wir sch\u00e4tzen eure Unterst\u00fctzung dabei, unsere Produkte und Dienstleistungen noch sicherer zu machen.<\/p>\n","protected":false},"excerpt":{"rendered":"
Einleitung Bei Criteo steht die Sicherheit unserer Produkte und Dienstleistungen an oberster Stelle. Unser Ziel ist es, unseren Kunden und User die bestm\u00f6gliche Erfahrung zu bieten und sicherzustellen, dass die uns anvertrauten Informationen und Daten gesch\u00fctzt sind. Aus diesem Grund setzen wir auch auf die verantwortungsvolle und ethische Offenlegung potenzieller Sicherheitsl\u00fccken durch Sicherheitsforscher und die […]<\/p>\n","protected":false},"author":159,"featured_media":0,"parent":23072,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"page-templates\/basic.php","meta":{"_acf_changed":false,"footnotes":""},"coauthors":[626],"class_list":["post-23077","page","type-page","status-publish"],"acf":{"layout_mode":"security-2023","toc_order":"1","has_more_content":false,"storetail_optout":false,"track_page_in_segment":false,"segment_page_name":"","additional_code":"","enable_slide-in":false},"yoast_head":"\n