Hinweise auf Schwachstellen: Bug Bounty Programm der ADAC Unternehmensgruppe
Die ADAC Unternehmensgruppe, bestehend aus den Säulen ADAC e.V., ADAC SE und ADAC Stiftung, setzen unterschiedliche digitale Services ein. Die Sicherheit der Daten und Prozesse hat dabei höchste Priorität. Trotzdem können diese digitalen Services Schwachstellen enthalten, die dem ADAC trotz größter Sorgfalt nicht bekannt sind. Daher sind wir für Hinweise auf Schwachstellen sehr dankbar.
Hierbei ist zu beachten: Bei der Suche nach Schwachstellen kann es sich ggf. um eine Straftat handeln. Daher bitten wir Sie, die folgenden Regeln zu beachten.
1. Was ist das Bug Bounty Programm der ADAC Unternehmensgruppe?
"Bug Bounty Programme" sind ein wichtiges Instrument zur Verbesserung der Sicherheit von digitalen Services, da sie eine Gemeinschaft von "ethischen Hackern" oder Sicherheitsforschern fördern, die dazu beitragen, potenzielle Schwachstellen aufzudecken, bevor sie von böswilligen Akteuren ausgenutzt werden können.
Das Bug Bounty Programm der ADAC Unternehmensgruppe ist eine Initiative der ADAC Informationssicherheit, um Personen zu belohnen, die Fehler, Sicherheitslücken oder Bugs in digitalen Services der ADAC Unternehmensgruppe aufdecken und melden. Der Ausdruck "Bug Bounty" kommt aus dem Englischen und bedeutet wörtlich übersetzt "Kopfgeld für Fehler".
Die Belohnung, das sogenannte "Bounty", variiert auf der Grundlage der Schwere und der Art des aufgedeckten Fehlers.
Am Bug Bounty Programm der ADAC Unternehmensgruppe kann jeder teilnehmen, der sich an die hier genannten Regeln hält.
2. Welche digitalen Services umfasst das Bug Bounty Programm?
Das Bug Bounty Programm schließt alle über das Internet erreichbaren digitalen Services der ADAC Unternehmensgruppe ein. Neben der Hauptdomäne adac.de existiert eine Vielzahl von weiteren Domänen auf deren einzelne Auflistung aufgrund von Variabilität verzichtet werden muss.
Hervorzuheben ist, dass manche Domänen mit ADAC Bezug auf nicht von der ADAC Unternehmensgruppe verantwortete digitale Services weiterleiten (z.B. adac-banking.solarisgroup.com – Eigentümer ist die Solaris SE). In diesem Fall umfasst das Bug Bounty Programm nur die von der ADAC Unternehmensgruppe direkt verantworteten digitalen Services. Entscheidend ist hierbei das im Impressum genannte Unternehmen.
Bitte beachten Sie, dass IT-Sicherheitsuntersuchungen für digitale Services, die nicht von der ADAC Unternehmensgruppe direkt verantwortet werden, als rechtswidrig eingestuft und entsprechend geahndet werden könnten. Dies steht nicht in der Verantwortung der ADAC Unternehmensgruppe.
3. Welche Regeln gelten für das das Bug Bounty Programm der ADAC Unternehmensgruppe?
Um am Bug Bounty Programm teilzunehmen, gilt grundsätzlich: Die ADAC Unternehmensgruppe darf durch die Tätigkeiten im Rahmen des Bug Bounty Programms kein Schaden entstehen. Das bedeutet:
Beim Suchen nach Schwachstellen dürfen Verfügbarkeit, Vertraulichkeit, Authentizität und Integrität der Daten und Prozesse der ADAC Unternehmensgruppe nicht beeinträchtigt werden. Bitte führen Sie daher keine Phishing-Mail-, DDoS-, Brute-Force-Tests o. ä. durch. Ändern Sie keine Daten.
Es dürfen keine Backdoors o.ä. eingebaut werden, die dauerhaften Zugriff ermöglichen.
Gefundene Schwachstellen werden erst veröffentlicht, wenn diese von der ADAC Unternehmensgruppe geschlossen wurden.
Des Weiteren gilt:
Nur die erstmalige Meldung einer Schwachstelle kommt für eine Bug Bounty-Auszahlung in Frage.
Aktuelle und ehemalige Mitarbeiter der ADAC Unternehmensgruppe sowie Dienstleister und Zulieferer können nicht am Bug Bounty Programm teilnehmen.
Die Informationssicherheit der ADAC Unternehmensgruppe legt den Auszahlungsbetrag fest (siehe 5.). Eine Auszahlung kann nur erfolgen, wenn der Teilnehmer am Bug Bounty Programm der ADAC Unternehmensgruppe eine entsprechende und der geltenden Umsatzbesteuerung gerecht werdende Rechnung stellt.
Auszahlungen erfolgen grundsätzlich nur per Banküberweisung. Zahlungen per PayPal, Crypto Währungen etc. sind ausgeschlossen.
4. So können Sie uns eine Schwachstellen-Meldung zukommen lassen
Bitte geben Sie uns im Falle einer Kontaktaufnahme mindestens folgende Informationen:
Exakte Domain, IP-Adresse etc. an, auf welcher Sie die Schwachstelle gefunden haben.
Möglichst viele Details zur Reproduktion der Schwachstelle, um uns die Analyse zu erleichtern und damit die Auszahlung der Belohnung zu beschleunigen. Z. B. IP-Adresse von der aus der Zugriff erfolgte, Proof-Of-Concept-Skizzen etc.
Senden Sie bitte alle Informationen an folgende E-Mail-Adresse: BugBounty@adac.de
5. Was geschieht nach der Meldung?
Eine eingereichte Schwachstellenmeldung wird von der ADAC Unternehmensgruppe verifiziert, bewertet und in eine Kritikalitätsstufe eingeordnet. Maßstab hierbei ist das Gefahrenpotenzial. Orientierung ist hierbei der „Common Vulnerability Scoring System Calculator - CVSS“ (siehe z.B. https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator).
An den CVSS-Score ist ein Belohnungsrahmen gekoppelt. Die genaue Höhe der Vergütung innerhalb des Rahmens wird individuell vom Chief Information Security Officer der ADAC Unternehmensgruppe festgelegt.
Schwachstelleneinordnung | Niedrig | Mittel | Hoch | Kritisch |
---|---|---|---|---|
CVSS-Score | 0.1 - 3.9 | 4.0 - 6.9 | 7.0 - 8.9 | 9.0 - 10.0 |
Bug Bounty (Nettobetrag vor Umsatzversteuerung) | bis 200 € | 201 - 1.001 € | 1.001 – 5.000 € | über 5.000 € |
Für die ADAC Unternehmensgruppe sind insbesondere Schwachstellen interessant, die es Unberechtigten ermöglichen auf vertrauliche Daten zuzugreifen, diese zu ändern oder zu löschen. Beispiele für relevante Schwachstellen finden sich z. B. bei OWASP ( https://owasp.org/www-project-top-ten/).
Nicht relevant im Bug Bounty Programm sind dagegen beispielsweise folgende Punkte:
Grundsätzliche Erreichbarkeit von digitalen Services.
Phishing-Mails u. ä., insbesondere solche, in denen z. B. die Mailadressen der ADAC Unternehmensgruppe missbraucht werden.
Schwachstellen ohne Nachweis einer Ausnutzbarkeit.
Schwachstellen, die nur veraltete oder mit eingeschränkten Sicherheitsmerkmalen betriebene Browser betreffen.
Von Scannern erzeugte Berichte, die keinen konkreten und komplett nachvollziehbaren Bezug zu einer Schwachstelle ermöglichen.
Nicht eingesetzte Best-Practices in Headern, SSL/TLS, DNS etc.
Reporting about Vulnerabilities: Bug Bounty Program of the ADAC Group
The ADAC Group, consisting of ADAC e.V., ADAC SE, and ADAC Stiftung, uses various digital services. The security of data and processes is of the highest priority. Despite the utmost care, these digital services may contain vulnerabilities that are unknown to the ADAC Group. Therefore, we are grateful for any hints regarding vulnerabilities.
Please note: Searching for vulnerabilities may constitute a criminal offense. Therefore, please align with the following rules.
1. What is the Bug Bounty Program of the ADAC Group?
"Bug Bounty Programs" are an important tool for improving the security of digital services, as they foster a community of "ethical hackers" or security researchers who help to uncover potential vulnerabilities before they can be exploited by malicious actors. The Bug Bounty Program of the ADAC Group is an initiative of the ADAC Information Security to reward individuals who discover and report errors, security issues, or bugs in the digital services of the ADAC Group. The term "Bug Bounty" literally means "bounty for bugs." The reward, the so-called "bounty," varies based on the severity and type of the discovered error. Anyone who adheres to the rules mentioned here can participate in the Bug Bounty Program of the ADAC Group.
2. Which digital services are included in the Bug Bounty Program?
The Bug Bounty Program includes all internet-accessible digital services of the ADAC Group. Besides the main domain adac.de, there are many other domains whose individual listing must be omitted due to variability. It is important to note that some domains related to ADAC redirect to digital services not managed by the ADAC Group (e.g., adac-banking.solarisgroup.com – owned by Solaris SE). In this case, the Bug Bounty Program only covers the digital services directly managed by the ADAC Group. The decisive factor is the company mentioned in the imprint. Please note that IT security investigations for digital services, which are not directly managed by the ADAC Group, may be classified as illegal and prosecuted accordingly. This is not the responsibility of the ADAC Group.
3. What rules apply to the Bug Bounty Program of the ADAC Group?
To participate in the Bug Bounty Program, the following applies: The ADAC Group must not suffer any damage from activities within the Bug Bounty Program. This means:
When searching for vulnerabilities, the availability, confidentiality, authenticity, and integrity of the data and processes of the ADAC Group must not be impaired. Therefore, do not conduct phishing mail, DDoS, brute-force tests, etc. Do not alter any data.
No backdoors or similar should be installed to allow permanent access.
Discovered vulnerabilities will only be published once they have been closed by the ADAC Group.
Additionally:
• Only the first report of a vulnerability is eligible for a Bug Bounty payout.
• Current and former employees of the ADAC Group, as well as service providers and suppliers, cannot participate in the Bug Bounty Program.
• The ADAC Group's Information Security determines the payout amount (see 5.). A payout can only occur if the participant in the Bug Bounty Program of the ADAC Group issues an appropriate invoice that complies with applicable sales tax regulations.
• Payouts are generally made only by bank transfer. Payments via PayPal, cryptocurrencies, etc., are not possible.
4. How to submit a vulnerability report
Please provide at least the following information when contacting us:
Exact domain, IP address, etc., where you found the vulnerability.
As many details as possible to reproduce the vulnerability to facilitate our analysis and expedite the reward payout.
For example, IP address from which the access occurred, proof-of-concept sketches, etc. Please send all information to the following email address: BugBounty@adac.de
5. What happens after the report?
A submitted vulnerability report will be verified, evaluated, and classified by the ADAC Group. The criterion here is the potential danger. The "Common Vulnerability Scoring System Calculator - CVSS" serves as a guideline (see e.g., https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator). The CVSS score is linked to a reward ranges. The exact amount of the reward within the ranges is individually determined by the Chief Information Security Officer of the ADAC Group.
Vulnerability Classification Severity | Low | Medium | High | Critical |
---|---|---|---|---|
CVSS-Score | 0.1 - 3.9 | 4.0 - 6.9 | 7.0 - 8.9 | 9.0 - 10.0 |
Bug Bounty (Net amount before sales tax) | bis 200 € | 201 – 1.000 € | 1.001 – 5.000 € | over 5.000 € |
For the ADAC Group, vulnerabilities that allow unauthorized access, modification, or deletion of confidential data are particularly interesting. Examples of relevant vulnerabilities can be found at OWASP (https://owasp.org/www-project-top-ten/).
The following points are not relevant in the Bug Bounty Program:
Basic availability of digital services.
Phishing mails, etc., especially those that misuse ADAC Group email addresses.
Vulnerabilities without proof of exploitability.
Vulnerabilities that only affect outdated or browsers with limited security features.
Reports generated by scanners that do not provide a concrete and fully understandable reference to a vulnerability.
Non-implemented best practices in headers, SSL/TLS, DNS, etc.