Verantwortungsvolle Offenlegung

• Sie müssen in gutem Glauben handeln, um Datenschutzverletzungen oder Störungen der von uns bereitgestellten Dienste zu vermeiden. Dazu gehört unter anderem der unbefugte Zugriff auf oder die Zerstörung von Daten sowie die Unterbrechung oder Verschlechterung unserer Dienste. Zudem müssen alle geltenden Gesetze und Vorschriften beachtet werden, insbesondere solche, die unbefugten Datenzugriff untersagen.
• Wenn Sie ein Sicherheitsproblem entdecken, dürfen Sie dieses ausschließlich zu Testzwecken nutzen – niemals außerhalb Ihres eigenen Kontos oder ohne ausdrückliche schriftliche Zustimmung des jeweiligen Kontoinhabers. Berücksichtigen Sie dabei auch potenzielle Risiken, z. B. die Gefährdung sensibler Unternehmensdaten oder eines anderen Benutzerkontos.
• Vermeiden Sie automatisierte Scans.
• Testen Sie nicht die physische Sicherheit von Trustly-Büros, Mitarbeitenden oder Geräten.
• Social-Engineering-Methoden (Phishing, Vishing usw.) sind untersagt.
• Führen Sie keine DoS- oder DDoS-Angriffe durch.
• Geben Sie keine Sicherheitsprobleme ohne ausdrückliche Genehmigung von Trustly an Dritte oder die Öffentlichkeit weiter.
• Wir führen eine Liste von Sicherheitsforschern, die gültige Berichte eingereicht haben. Die Teilnahme an dieser Liste ist freiwillig. Wir behalten uns das Recht vor, die mit Ihrem Namen verknüpften Informationen einzuschränken.

Wir interessieren uns ausschließlich für Schwachstellen in Domains oder IP-Adressen, die sich im Eigentum von Trustly Group AB oder Trustly Inc. befinden. Bitte überprüfen Sie die WHOIS-Daten.

Die folgenden Arten von Schwachstellen sind stets außerhalb des Umfangs (nicht abschließend):

• HTTP-Fehlerseiten wie 404 oder andere Nicht-200-Codes
• Banner-Footprinting auf öffentlichen Diensten
• Veröffentlichung bekannter öffentlicher Dateien oder Verzeichnisse (z. B. robots.txt)
• Clickjacking oder Probleme, die nur über Clickjacking ausnutzbar sind
• CSRF bei Formularen für anonyme Nutzer
• Logout-CSRF
• Vorhandensein von 'Autocomplete' oder 'Passwort speichern' im Browser
• Fehlende Secure-/HTTP-only-Cookies bei nicht sensiblen Cookies
• HTTP-Methode OPTIONS aktiviert
• Aufzählung von E-Mail-Adressen @trustly.com
• Fehlende HTTP-Sicherheitsheader wie:
  a. Strict-Transport-Security
  b. X-Frame-Options
  c. X-XSS-Protection
  d. X-Content-Type-Options
  e. Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
  f. Content-Security-Policy-Report-Only

• TLS-/SSL-Probleme wie BEAST, BREACH, schwache Cipher Suites
• Inhaltsspoofing/Textinjektion ohne HTML/CSS
• Schwache Passwort-Richtlinien
• Fehlkonfigurationen wie DMARC, SPF, DKIM
• Diese Liste ist nicht abschließend.