Hinweise auf Schwachstellen: Bug Bounty Programm der ADAC Unternehmensgruppe

Die ADAC Unternehmensgruppe, bestehend aus den Säulen ADAC e.V., ADAC SE und ADAC Stiftung, setzen unterschiedliche digitale Services ein. Die Sicherheit der Daten und Prozesse hat dabei höchste Priorität. Trotzdem können diese digitalen Services Schwachstellen enthalten, die dem ADAC trotz größter Sorgfalt nicht bekannt sind. Daher sind wir für Hinweise auf Schwachstellen sehr dankbar. 

Hierbei ist zu beachten: Bei der Suche nach Schwachstellen kann es sich ggf. um eine Straftat handeln. Daher bitten wir Sie, die folgenden Regeln zu beachten.

1. Was ist das Bug Bounty Programm der ADAC Unternehmensgruppe?

"Bug Bounty Programme" sind ein wichtiges Instrument zur Verbesserung der Sicherheit von digitalen Services, da sie eine Gemeinschaft von "ethischen Hackern" oder Sicherheitsforschern fördern, die dazu beitragen, potenzielle Schwachstellen aufzudecken, bevor sie von böswilligen Akteuren ausgenutzt werden können.

Das Bug Bounty Programm der ADAC Unternehmensgruppe ist eine Initiative der ADAC Informationssicherheit, um Personen zu belohnen, die Fehler, Sicherheitslücken oder Bugs in digitalen Services der ADAC Unternehmensgruppe aufdecken und melden. Der Ausdruck "Bug Bounty" kommt aus dem Englischen und bedeutet wörtlich übersetzt "Kopfgeld für Fehler".

Die Belohnung, das sogenannte "Bounty", variiert auf der Grundlage der Schwere und der Art des aufgedeckten Fehlers.

Am Bug Bounty Programm der ADAC Unternehmensgruppe kann jeder teilnehmen, der sich an die hier genannten Regeln hält.

2. Welche digitalen Services umfasst das Bug Bounty Programm?

Das Bug Bounty Programm schließt alle über das Internet erreichbaren digitalen Services der ADAC Unternehmensgruppe ein. Neben der Hauptdomäne adac.de existiert eine Vielzahl von weiteren Domänen auf deren einzelne Auflistung aufgrund von Variabilität verzichtet werden muss.

Hervorzuheben ist, dass manche Domänen mit ADAC Bezug auf nicht von der ADAC Unternehmensgruppe verantwortete digitale Services weiterleiten (z.B. adac-banking.solarisgroup.com – Eigentümer ist die Solaris SE). In diesem Fall umfasst das Bug Bounty Programm nur die von der ADAC Unternehmensgruppe direkt verantworteten digitalen Services. Entscheidend ist hierbei das im Impressum genannte Unternehmen.

Bitte beachten Sie, dass IT-Sicherheitsuntersuchungen für digitale Services, die nicht von der ADAC Unternehmensgruppe direkt verantwortet werden, als rechtswidrig eingestuft und entsprechend geahndet werden könnten. Dies steht nicht in der Verantwortung der ADAC Unternehmensgruppe.

3. Welche Regeln gelten für das das Bug Bounty Programm der ADAC Unternehmensgruppe?

Um am Bug Bounty Programm teilzunehmen, gilt grundsätzlich: Die ADAC Unternehmensgruppe darf durch die Tätigkeiten im Rahmen des Bug Bounty Programms kein Schaden entstehen. Das bedeutet:

  • Beim Suchen nach Schwachstellen dürfen Verfügbarkeit, Vertraulichkeit, Authentizität und Integrität der Daten und Prozesse der ADAC Unternehmensgruppe nicht beeinträchtigt werden. Bitte führen Sie daher keine Phishing-Mail-, DDoS-, Brute-Force-Tests o. ä. durch. Ändern Sie keine Daten.

  • Es dürfen keine Backdoors o.ä. eingebaut werden, die dauerhaften Zugriff ermöglichen.

  • Gefundene Schwachstellen werden erst veröffentlicht, wenn diese von der ADAC Unternehmensgruppe geschlossen wurden.

Des Weiteren gilt:

  • Nur die erstmalige Meldung einer Schwachstelle kommt für eine Bug Bounty-Auszahlung in Frage.

  • Aktuelle und ehemalige Mitarbeiter der ADAC Unternehmensgruppe sowie Dienstleister und Zulieferer können nicht am Bug Bounty Programm teilnehmen.

  • Die Informationssicherheit der ADAC Unternehmensgruppe legt den Auszahlungsbetrag fest (siehe 5.). Eine Auszahlung kann nur erfolgen, wenn der Teilnehmer am Bug Bounty Programm der ADAC Unternehmensgruppe eine entsprechende und der geltenden Umsatzbesteuerung gerecht werdende Rechnung stellt.

  • Auszahlungen erfolgen grundsätzlich nur per Banküberweisung. Zahlungen per PayPal, Crypto Währungen etc. sind ausgeschlossen.

4. So können Sie uns eine Schwachstellen-Meldung zukommen lassen

Bitte geben Sie uns im Falle einer Kontaktaufnahme mindestens folgende Informationen:

  • Exakte Domain, IP-Adresse etc. an, auf welcher Sie die Schwachstelle gefunden haben.

  • Möglichst viele Details zur Reproduktion der Schwachstelle, um uns die Analyse zu erleichtern und damit die Auszahlung der Belohnung zu beschleunigen. Z. B. IP-Adresse von der aus der Zugriff erfolgte, Proof-Of-Concept-Skizzen etc.

Senden Sie bitte alle Informationen an folgende E-Mail-Adresse: BugBounty@adac.de

5. Was geschieht nach der Meldung?

Eine eingereichte Schwachstellenmeldung wird von der ADAC Unternehmensgruppe verifiziert, bewertet und in eine Kritikalitätsstufe eingeordnet. Maßstab hierbei ist das Gefahrenpotenzial. Orientierung ist hierbei der „Common Vulnerability Scoring System Calculator - CVSS“ (siehe z.B. https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator) in Verbindung mit der Klassifizierung der betroffenen Systeme bzw. Daten.

An das daraus ermittelte Gefahrenpotential ist ein Belohnungsrahmen gekoppelt. Die genaue Höhe der Vergütung wird individuell vom Chief Information Security Officer der ADAC Unternehmensgruppe festgelegt.

GefahrenpotenzialNiedrigMittelHochKritisch

Bug Bounty (Nettobetrag vor Umsatzversteuerung)

bis 200 €

201 - 1.000 €

1.001 – 5.000 €

über 5.000 €

Für die ADAC Unternehmensgruppe sind insbesondere Schwachstellen interessant, die es Unberechtigten ermöglichen auf vertrauliche Daten zuzugreifen, diese zu ändern oder zu löschen. Beispiele für relevante Schwachstellen finden sich z. B. bei OWASP ( https://owasp.org/www-project-top-ten/).

Nicht belohnungsrelevant im Bug Bounty Programm sind dagegen beispielsweise folgende Punkte:

  • Grundsätzliche Erreichbarkeit von digitalen Services.

  • Phishing-Mails u. ä., insbesondere solche, in denen z. B. die Mailadressen der ADAC Unternehmensgruppe missbraucht werden.

  • Schwachstellen ohne Nachweis einer Ausnutzbarkeit.

  • Von Scannern erzeugte Berichte, die keinen konkreten und komplett nachvollziehbaren Bezug zu einer Schwachstelle ermöglichen.

  • Allgemeine Fehlermeldungen (z. B. Stacktraces, Anwendungs- oder Serverfehler).

  • Fingerprinting/Banner-Offenlegung bei allgemeinen/öffentlichen Diensten.

  • Clickjacking und Probleme, die nur per Clickjacking ausgenutzt werden können.

  • Cross-Site Request Forgery beim Abmelden (CSRF beim Abmelden).

  • Content Spoofing.

  • Vorhandensein der Funktion „Autovervollständigung“ oder „Passwort speichern“ in Anwendungen oder Webbrowsern.

  • Fehlende Secure/HTTPOnly-Flags bei nicht sensiblen Cookies.

  • Fehlender „Sicherheits-Speedbump“ beim Verlassen der Site.

  • Schwaches Captcha/Captcha-Bypass.

  • Brute-Force-Angriffe auf die Seite „Anmelden“ oder „Passwort vergessen“ und Kontosperrung nicht erzwungen.

  • Aufzählung von Benutzernamen/E-Mails.

  • Fehlende HTTP-Sicherheitsheader, insbesondere (https://owasp.org/www-project-secure-headers/), z. B.
    - Strict-Transport-Security
    - X-Frame-Options
    - X-XSS-Protection
    - X-Content-Type-Options
    - Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    - Content-Security-Policy-Report-Only
    - Cache-Control und Pragma

  • HTTP/DNS-Cache-Poisoning

  • SSL/TLS-Probleme, z. B.
    - SSL-Angriffe wie BEAST, BREACH, Renegotiation-Angriff
    - SSL-Forward-Secrecy nicht aktiviert
    - SSL-schwache/unsichere Cipher-Suites

  • Self-XSS-Berichte.
    Ebenso jedes XSS, bei dem ein lokaler Zugriff erforderlich ist (z. B. User-Agent-Header-Injektion),
    Ausnahme: Ein funktionierender Off-Path-MiTM-Angriff wird vorgewiesen, der das Auslösen des XSS ermöglicht.

  • Schwachstellen, die auf veraltete Browser beschränkt sind, werden nicht akzeptiert (z. B. IE6/IE7).

  • Bekannte Schwachstellen in verwendeten Bibliotheken oder Berichte, dass ein Dienst eine veraltete Drittanbieterbibliothek verwendet (z. B. jQuery, Apache HttpComponents usw.), sofern die Ausnutzbarkeit nicht nachweisbar ist.

  • Fehlende oder falsche SPF-Einträge jeglicher Art.

  • Fehlende oder falsche DMARC-Einträge jeglicher Art.

  • Schwachstellen bei der Offenlegung von Quellcode.

  • Offenlegung nicht vertraulicher Informationen.

  • Die Möglichkeit, Viren oder schädliche Dateien auf Plattformen hoch-/herunterzuladen.

  • E-Mail-Bombing.

  • Request Flooding

  • Fehlende Ratenbegrenzung.

  • CSV-Injection.

Reporting about Vulnerabilities: Bug Bounty Program of the ADAC Group 

The ADAC Group, consisting of ADAC e.V., ADAC SE, and ADAC Stiftung, uses various digital services. The security of data and processes is of the highest priority. Despite the utmost care, these digital services may contain vulnerabilities that are unknown to the ADAC Group. Therefore, we are grateful for any hints regarding vulnerabilities. 

Please note: Searching for vulnerabilities may constitute a criminal offense. Therefore, please align with the following rules. 

1. What is the Bug Bounty Program of the ADAC Group?

"Bug Bounty Programs" are an important tool for improving the security of digital services, as they foster a community of "ethical hackers" or security researchers who help to uncover potential vulnerabilities before they can be exploited by malicious actors. The Bug Bounty Program of the ADAC Group is an initiative of the ADAC Information Security to reward individuals who discover and report errors, security issues, or bugs in the digital services of the ADAC Group. The term "Bug Bounty" literally means "bounty for bugs." The reward, the so-called "bounty," varies based on the severity and type of the discovered error. Anyone who adheres to the rules mentioned here can participate in the Bug Bounty Program of the ADAC Group.

2. Which digital services are included in the Bug Bounty Program?

The Bug Bounty Program includes all internet-accessible digital services of the ADAC Group. Besides the main domain adac.de, there are many other domains whose individual listing must be omitted due to variability. It is important to note that some domains related to ADAC redirect to digital services not managed by the ADAC Group (e.g., adac-banking.solarisgroup.com – owned by Solaris SE). In this case, the Bug Bounty Program only covers the digital services directly managed by the ADAC Group. The decisive factor is the company mentioned in the imprint. Please note that IT security investigations for digital services, which are not directly managed by the ADAC Group, may be classified as illegal and prosecuted accordingly. This is not the responsibility of the ADAC Group.

3. What rules apply to the Bug Bounty Program of the ADAC Group?

To participate in the Bug Bounty Program, the following applies: The ADAC Group must not suffer any damage from activities within the Bug Bounty Program. This means:

  • When searching for vulnerabilities, the availability, confidentiality, authenticity, and integrity of the data and processes of the ADAC Group must not be impaired. Therefore, do not conduct phishing mail, DDoS, brute-force tests, etc. Do not alter any data.

  • No backdoors or similar should be installed to allow permanent access.

  • Discovered vulnerabilities will only be published once they have been closed by the ADAC Group.
    Additionally:
    • Only the first report of a vulnerability is eligible for a Bug Bounty payout.
    • Current and former employees of the ADAC Group, as well as service providers and suppliers, cannot participate in the Bug Bounty Program.
    • The ADAC Group's Information Security determines the payout amount (see 5.). A payout can only occur if the participant in the Bug Bounty Program of the ADAC Group issues an appropriate invoice that complies with applicable sales tax regulations.
    • Payouts are generally made only by bank transfer. Payments via PayPal, cryptocurrencies, etc., are not possible.

4. How to submit a vulnerability report

Please provide at least the following information when contacting us:

  • Exact domain, IP address, etc., where you found the vulnerability.

  • As many details as possible to reproduce the vulnerability to facilitate our analysis and expedite the reward payout.

For example, IP address from which the access occurred, proof-of-concept sketches, etc. Please send all information to the following email address: BugBounty@adac.de

5. What happens after the report?

A submitted vulnerability report will be verified, evaluated, and classified by the ADAC Group. The criterion here is the potential danger. The "Common Vulnerability Scoring System Calculator - CVSS" (see e.g. https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator) in connection with the classification of the affected systems or data serves as a guideline. The potential danger is linked to reward ranges. The exact amount of the reward is individually determined by the Chief Information Security Officer of the ADAC Group.

Potential dangerLowMediumHighCritical

Bug Bounty (Net amount before sales tax)

bis 200 €

201 – 1.000 €

1.001 – 5.000 €

over 5.000 €

For the ADAC Group, vulnerabilities that allow unauthorized access, modification, or deletion of confidential data are particularly interesting. Examples of relevant vulnerabilities can be found at OWASP (https://owasp.org/www-project-top-ten/).
The following points are not relevant for a reward in the Bug Bounty Program:

  • Basic availability of digital services.

  • Phishing mails, etc., especially those that misuse ADAC Group email addresses.

  • Vulnerabilities without proof of exploitability.

  • Reports generated by scanners that do not provide a concrete and fully understandable reference to a vulnerability.

  • Descriptive error messages (e.g. stack traces, application or server errors).

  • Fingerprinting / banner disclosure on common/public services.

  • Clickjacking and issues only exploitable through clickjacking.

  • Logout Cross-Site Request Forgery (logout CSRF).

  • Content Spoofing.

  • Presence of application or web browser ‘autocomplete’ or ‘save password’ functionality.

  • Lack of Secure/HTTPOnly flags on non-sensitive Cookies.

  • Lack of "security speed bump" when leaving the site.

  • Weak Captcha / Captcha bypass.

  • Login or Forgot Password page brute force and account lockout not enforced.

  • Username / email enumeration.

  • Missing HTTP security headers, specifically (https://owasp.org/www-project-secure-headers/), e.g.
    - Strict-Transport-Security.
    - X-Frame-Options.
    - X-XSS-Protection.
    - X-Content-Type-Options.
    - Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP.
    - Content-Security-Policy-Report-Only.
    - Cache-Control and Pragma

  • HTTP/DNS cache poisoning.

  • SSL/TLS Issues, e.g.
    - SSL Attacks such as BEAST, BREACH, Renegotiation attack.
    - SSL Forward secrecy not enabled.
    - SSL weak/insecure cipher suites.

  • Self-XSS reports.
    Similarly, any XSS where local access is required (i.e. User-Agent Header injection)
    If you can show a working off-path MiTM attack that will allow for the XSS to trigger.

  • Vulnerabilities that are limited to unsupported browsers (i.e. IE6/IE7).

  • Known vulnerabilities in used libraries, or reports that a service uses an outdated third party library (e.g. jQuery, Apache HttpComponents etc) unless you can prove exploitability.

  • Missing or incorrect SPF records of any kind.

  • Missing or incorrect DMARC records of any kind.

  • Source code disclosure vulnerabilities.

  • Information disclosure of non-confidential information.

  • The ability to upload/download viruses or malicious files.

  • Email bombing

  • Request Flooding

  • Lack of rate limiting

  • CSV Injection