Hilf uns besser zu werden
…und finde Schwachstellen in unseren Domains, die bislang noch niemandem aufgefallen sind. Wir haben quasi ein Kopfgeld auf Fehler ausgesetzt und jagen sie mit unserem Bug-Bounty-Programm. Jeder Fehler, den ihr meldet, kann bares Geld wert sein. Die Höhe der Prämie richtet sich nach der Bedeutung der Schwachstelle für Datenschutz und Sicherheit.
Relevant für das Bug-Bounty-Programm der Deutschen Telekom AG sind Schwachstellen in Domains und Subdomains auf *.telekom.de, *.telekom.net, *.telekom.com und *.t-systems.com.
Wer darüber hinaus Hinweise für uns hat, ist jederzeit willkommen – sollte aber nicht mit einer Prämie rechnen. Bug Bounty@Deutsche Telekom AG ist ein offenes Programm. Nicht mitmachen dürfen lediglich aktuelle und ehemalige Mitarbeiterinnen und Mitarbeiter der Deutschen Telekom AG und ihnen verbundenen Unternehmen sowie deren Angehörige oder ihre gesetzlichen Vertreter. Minderjährige benötigen eine Einverständnis-Erklärung.
Responsible Disclosure setzen wir voraus
So viel Fairness muss sein und gehört zum guten Ton: Bevor ihr gefundene Schwachstellen öffentlich macht, haben wir ausreichend Zeit zur Reaktion und Fehlerbehebung. Der Fehler bleibt also solange unter uns – keine Info an Dritte.
Im Rahmen eurer Untersuchungen seid ihr vorsichtig mit dem geprüften Dienst umgegangen und habt seine Verfügbarkeit nicht eingeschränkt. Ihr habt weder Daten ausgespäht, noch verändert, heruntergeladen, gelöscht oder weitergegeben. Tut ihr es doch, können wir durch geltendes Recht gezwungen sein, dies bei Behörden anzuzeigen. Das wollt ihr nicht – wir auch nicht.
Wie komme ich an die Prämie?
Ihr habt euch an unsere Regeln gehalten und eine Schwachstelle gemeldet, die nicht vorher öffentlich bekannt war. Es muss sich um die erste Einsendung zu dieser Schwachstelle handeln. Ihr habt reale, eigene Accounts verwendet. Der Zugriff auf Accountdaten Dritter ohne deren Zustimmung ist nicht erwünscht. Ihr habt den Fehler gefunden, ohne dazu Scanner-Tools zu benutzen. Die Schwachstelle darf nicht auf einer veralteten Third Party Software-Komponente beruhen.
Reicht ihr den Fehler bei uns ein, benötigen wir ein Beispiel (eindeutiger Request oder PoC Code) und eine Beschreibung. Bitte gebt an, welchen Browser ihr verwendet habt und wie dieser eingestellt ist.
Prämien gibt es aktuell für:
Remote Code Execution Schwachstellen und SQL Injection Schwachstellen.
Bis auf weiteres nicht prämiert werden:
XSS Schwachstellen, CSRF Schwachstellen sowie RFI/LFI Schwachstellen.
Bitte nur eine Schwachstelle pro E-Mail melden. Damit wir die Prämie ausbezahlen können, benötigen wir weitere Infos von euch.
Notwendige Angaben zur Prämienauszahlung (pdf, 466,4 KB)