Konzern

Hilf uns besser zu werden

Bug Bounty

…und finde Schwachstellen in unseren Domains, die bislang noch niemandem aufgefallen sind. Wir haben quasi ein Kopfgeld auf Fehler ausgesetzt und jagen sie mit unserem Bug-Bounty-Programm. Jeder Fehler, den ihr meldet, kann bares Geld wert sein. Die Höhe der Prämie richtet sich nach der Bedeutung der Schwachstelle für Datenschutz und Sicherheit.

Relevant für das Bug-Bounty-Programm der Deutschen Telekom AG sind Schwachstellen in Domains und Subdomains auf *.telekom.de, *.telekom.net, *.telekom.com und *.t-systems.com.

Wer darüber hinaus Hinweise für uns hat, ist jederzeit willkommen – sollte aber nicht mit einer Prämie rechnen. Bug Bounty@Deutsche Telekom AG ist ein offenes Programm. Nicht mitmachen dürfen lediglich aktuelle und ehemalige Mitarbeiterinnen und Mitarbeiter der Deutschen Telekom AG und ihnen verbundenen Unternehmen sowie deren Angehörige oder ihre gesetzlichen Vertreter. Minderjährige benötigen eine Einverständnis-Erklärung.

Responsible Disclosure setzen wir voraus

So viel Fairness muss sein und gehört zum guten Ton: Bevor ihr gefundene Schwachstellen öffentlich macht, haben wir ausreichend Zeit zur Reaktion und Fehlerbehebung. Der Fehler bleibt also solange unter uns – keine Info an Dritte. 
Im Rahmen eurer Untersuchungen seid ihr vorsichtig mit dem geprüften Dienst umgegangen und habt seine Verfügbarkeit nicht eingeschränkt. Ihr habt weder Daten ausgespäht, noch verändert, heruntergeladen, gelöscht oder weitergegeben. Tut ihr es doch, können wir durch geltendes Recht gezwungen sein, dies bei Behörden anzuzeigen. Das wollt ihr nicht – wir auch nicht.

Wie komme ich an die Prämie?

Ihr habt euch an unsere Regeln gehalten und eine Schwachstelle gemeldet, die nicht vorher öffentlich bekannt war. Es muss sich um die erste Einsendung zu dieser Schwachstelle handeln. Ihr habt reale, eigene Accounts verwendet. Der Zugriff auf Accountdaten Dritter ohne deren Zustimmung ist nicht erwünscht. Ihr habt den Fehler gefunden, ohne dazu Scanner-Tools zu benutzen. Die Schwachstelle darf nicht auf einer veralteten Third Party Software-Komponente beruhen. 
Reicht ihr den Fehler bei uns ein, benötigen wir ein Beispiel (eindeutiger Request oder PoC Code) und eine Beschreibung. Bitte gebt an, welchen Browser ihr verwendet habt und wie dieser eingestellt ist.

Prämien gibt es aktuell für: 
Remote Code Execution Schwachstellen und SQL Injection Schwachstellen.

Bis auf weiteres nicht prämiert werden: 
XSS Schwachstellen, CSRF Schwachstellen sowie RFI/LFI Schwachstellen.

Bitte nur eine Schwachstelle pro E-Mail melden. Damit wir die Prämie ausbezahlen können, benötigen wir weitere Infos von euch.

Notwendige Angaben zur Prämienauszahlung (pdf, 466,4 KB)


Danksagungen

Danksagungen

Wir möchten uns an dieser Stelle bei wichtigen Helfern bedanken, die uns mit Hinweisen dabei unterstützen, unsere Systeme sicherer zu machen.

FAQ

Cookies und ähnliche Technologien

Wir setzen Cookies und ähnliche Technologien auf unserer Website ein, um Informationen auf Ihrem Endgerät zu speichern, auszulesen und weiterzuverarbeiten. Dadurch verbessern wir Ihr Erlebnis, analysieren den Traffic auf der Website und zeigen Ihnen Inhalte und Werbung, die für Sie interessant sind. Dafür werden website- und geräteübergreifend Nutzungsprofile erstellt. Auch unsere Partner nutzen diese Technologien.


Wenn Sie „Nur erforderliche“ wählen, akzeptieren Sie nur Cookies, die zum richtigen Funktionieren unserer Website nötig sind. „Alle akzeptieren“ bedeutet, dass Sie den Zugriff auf Informationen auf Ihrem Endgerät und die Verwendung aller Cookies zur Analyse und für Marketingzwecke durch Deutsche Telekom AG und unsere Partner erlauben. Ihre Daten könnten dann in Länder außerhalb der Europäischen Union übermittelt werden, wo wir kein Datenschutzniveau garantieren können, das dem der EU entspricht (siehe Art. 49 (1) a DSGVO). Unter „Einstellungen“ können Sie alles im Detail festlegen und Ihre Einwilligung jederzeit ändern.


Weitere Informationen finden Sie im Datenschutzhinweis und in der Partnerliste.