LEITLINIEN

Um bei unserem Vulnerability Disclosure Programm mitzumachen, ist folgendes zu beachten.

Von der Teilnahme ausgenommen sind die gesetzlichen Vertreter, aktuelle und ehemalige Mitarbeiter der Firmengruppe Gameforge AG und deren verbundenen Unternehmen sowie deren Angehörige. Minderjährige dürfen nur mit der Zustimmung des gesetzlichen Vertreters teilnehmen.

Außerdem beachte bitte folgendes:

  • Du hast im Rahmen der Sicherheitsuntersuchungen alle Bemühungen unternommen / Vorkehrungen getroffen, den geprüften Dienst in seiner Verfügbarkeit nicht einzuschränken.
  • Du hast keine Daten Dritter ausgespäht und weitergegeben.
  • Du hast Dritte nicht über die Schwachstelle informiert.

    • Siehe auch: Regeln für Dich

Schwachstelle melden

Fülle das Formular aus, um deinen Schwachstellenbericht vorzubereiten. Du kannst dann den formatierten Text kopieren oder dein E-Mail-Programm öffnen, um ihn an uns zu senden. Alternativ kannst du auch einen Freitext-Bericht direkt an vdp@gameforge.com schicken.

Bitte wähle
  • DSGVO/GDPR relevant
  • Fehler in der Zugriffskontrolle
  • Injection-Schwachstellen
  • Cross-Site oder Server-Side Request Forgery (CSRF/SSRF)
  • Verlust der Vertraulichkeit sensibler Daten
  • Verwundbare und veraltete Komponenten
  • Cross-Site Scripting (XSS)
  • Unsichere direkte Objektreferenzen
  • Ungeprüfte Um- und Weiterleitungen
  • Anwendungsdesignfehler
  • Sonstiges
Wie beschreibe ich die Schwachstelle am besten?
Bitte beschreibe uns hier ausführlich die Schwachstelle. Z.B. wie man sie ausnutzt (ggf. PoC), Browser und sonstige Einstellungen, die notwendig sind, um das Problem zu reproduzieren.

Jagd auf Sicherheits-Bugs!

Wir möchten Spielern und Sicherheitsforschern weltweit die Möglichkeit geben, Sicherheitslücken in unseren Anwendungen zu melden.

Keine Technologie ist perfekt. Gameforge ist überzeugt, dass die Zusammenarbeit mit erfahrenen Sicherheitsforschern weltweit entscheidend ist, um bedeutende Sicherheitsrisiken zu identifizieren und zu minimieren. Wenn du glaubst, ein Sicherheitsproblem in einem unserer Produkte oder Dienste gefunden zu haben, ermutigen wir dich, uns dies mitzuteilen.

Wir legen großen Wert auf gut dokumentierte Berichte, die eindeutig geschäftliche, benutzer- oder sicherheitsrelevante Auswirkungen aufzeigen, idealerweise unterstützt durch einen Proof of Concept (PoC). Berichte, die sich ausschließlich auf fehlende Best Practices, theoretische Schwächen oder Härtungsempfehlungen ohne nachweisbare Auswirkungen konzentrieren, werden generell als informativ eingestuft.

Interessiert? Alle wichtigen Infos findest du in den FAQ und Regeln.

Teilnahme am Vulnerability Disclosure Programm

Voraussetzungen

Um an unserem Vulnerability Disclosure Programm teilzunehmen, musst du Folgendes beachten:

Gesetzliche Vertreter sowie aktuelle und ehemalige Mitarbeiter der Gameforge-Gruppe und verbundener Unternehmen sowie deren Ehepartner und Angehörige sind von potenziellen Prämien ausgeschlossen.

Minderjährige dürfen nur mit der Zustimmung des gesetzlichen Vertreters teilnehmen.

Unsere Verpflichtung (Regeln für Gameforge)

  • Wir stellen sicher, dass gemeldete Schwachstellen so schnell wie möglich geprüft und bearbeitet werden.
  • Wir prüfen deinen Bericht zeitnah und geben bei Bedarf Rückmeldung.
  • Wir halten dich über den Status deines Berichts auf dem Laufenden.
  • Solange du dich an die nachfolgenden Regeln hältst, musst du keine rechtlichen Schritte wegen verantwortungsvollen Testens und Offenlegens befürchten.

Deine Verantwortung (Regeln für dich)

Bitte befolge diese Regeln, um eine verantwortungsvolle Offenlegung zu gewährleisten und negative Auswirkungen auf unsere Spieler, Mitarbeiter oder Infrastruktur zu vermeiden:

  • Du darfst die Konten Dritter (Spieler, Mitarbeiter usw.) nicht angreifen, ausnutzen, verändern oder anderweitig beeinträchtigen. Verwende nach Möglichkeit nur deine eigenen Konten zum Testen.
  • DDoS, Spam oder andere störende Angriffe auf unsere Infrastruktur sind streng verboten, einschließlich Social Engineering und Phishing.
  • Schwachstellen dürfen nicht zum persönlichen Vorteil oder zum Nachteil Dritter ausgenutzt werden.
  • Schwachstellen müssen ausschließlich an Gameforge gemeldet werden und dürfen nicht öffentlich oder an Dritte weitergegeben werden, bevor wir sie behoben haben.
  • Die Verwendung automatisierter Scanner oder umfangreicher automatisierter Testwerkzeuge ist nicht gestattet.
  • Social Engineering gegen Gameforge-Mitarbeiter oder Spieleteams ist nicht erlaubt.
  • Es dürfen nur die explizit als Teil des Programms aufgeführten Webseiten und Dienste getestet werden.
Was kann gemeldet werden?

Schwachstellen, die nicht gemeldet werden müssen

Um uns auf Probleme mit tatsächlichen Sicherheits- oder Geschäftsauswirkungen konzentrieren zu können, bitten wir dich, Folgendes nicht zu melden:

  • Probleme, die nur veraltete oder nicht unterstützte Browser oder Plug-ins betreffen
  • Schwachstellen, die extrem unwahrscheinliches oder unrealistisches Benutzerverhalten erfordern (z.B. manuelles Copy & Paste, absichtliche Deaktivierung von Sicherheitsfunktionen)
  • Unsichere Cookie-Einstellungen für Cookies, die keine vertraulichen oder sensiblen Daten enthalten
  • Offenlegung von Informationen, die kein bedeutsames Risiko darstellen oder bereits öffentlich zugänglich sind
  • Schwachstellen in Drittanbieter-Software oder -Diensten, die von Gameforge verwendet werden
  • Schwachstellen in Anwendungen oder Domains, die nicht als Teil des Gameforge Vulnerability Disclosure Programms aufgeführt sind
  • Fehlende Sicherheits-Best-Practices, Härtungsvorschläge oder Konfigurationsempfehlungen ohne nachgewiesenen Angriffspfad oder Auswirkung (diese können als informativ behandelt werden)

Wo kann ich nach Bugs suchen?

Gameforge entwickelt und betreibt unterschiedliche Web-Anwendungen sowie Spiele, bietet zudem unterschiedliche von Dritten entwickelte Spiele an und nutzt von Dritten entwickelte Anwendungen.

Etwaige Schwachstellen in Software, die nicht von uns entwickelt wurden, können vom Vulnerability Disclosure Programm ausgeschlossen sein. Über weitergehende Hinweise freuen wir uns natürlich jederzeit und bieten an, diese an die jeweiligen Entwicklerstudios in deinem Namen weiterzuleiten – wenn dies gewünscht ist.

Um Missverständnisse zu vermeiden, findest du in den FAQ eine Aufstellung der Domains, die für das Vulnerability Disclosure Programm berücksichtigt werden.

Sind noch Fragen offen?

FAQ - Häufig gestellte Fragen

Hier findest du Antworten auf die häufig gestellten Fragen. Hast du eine Frage, die hier nicht beantwortet wurde, kannst du deine Frage jederzeit an vdp@gameforge.com schicken.

Welche Domains machen beim Vulnerability Disclosure Programm mit?

Auf den folgenden Domains kannst du auf Bugsuche gehen:

  • *.gameforge.com
  • *.gameforge.de
  • *.gfsrv.net
  • Unsere Spiele

Du hast über diese Domains hinaus einen Bug in einer anderen Gameforge-Anwendung gefunden? Über diese Hinweise freuen wir uns natürlich jederzeit und bieten an, diese an die jeweiligen Entwicklerstudios in deinem Namen weiterzuleiten – wenn dies gewünscht ist.

ALLES ANZEIGEN

Out-of-Scope Vulnerabilities

Zusätzlich zu die Themen in Schwachstellen, die nicht gemeldet werden müssen, sind die folgende Themen nicht Bestandteil vom Vulnerability Disclosure Program:


  • Angriffe, die physischen Zugriff auf das Gerät eines Benutzers erfordern
  • Self-XSS (wir benötigen einen Nachweis darüber, wie der XSS für einen Angriff auf einen anderen Gameforge-Nutzer verwendet werden kann)
  • Probleme ohne klar identifizierte Sicherheitsauswirkungen, wie z.B. Clickjacking auf einer statischen Website, fehlende Sicherheits-Header oder verständliche Fehlermeldungen
  • Fehlen von CSRF-Tokens (außer bei kritische Benutzeraktionen, die nicht durch ein Token geschützt sind)
  • Login/Logout CSRF
  • Inhalt/Fehlen von SPF, DKIM, MTA-STS, und DMARC Einträgen
  • Host-Header-Injektionen, außer wenn sie zum Diebstahl von Benutzerdaten führen können
  • Fehlendes Rate-limiting, außer bei der Authentifizierung
  • Fehlende Sicherheitsheader, die nicht direkt zu einer Sicherheitslücke führen
  • Sicherheitslücken, die nur Benutzer von veralteten oder ungepatchten Browsern und Systeme betreffen
  • Passwort-, E-Mail- und Kontorichtlinien, z. B. Überprüfung der E-Mail-Adresse, Ablauf des Rücksetz-Links, Passwortkomplexität
  • Verwendung einer bekanntermaßen anfälligen Bibliothek (ohne Nachweis der Ausnutzbarkeit)
  • Berichte von automatischen Tools oder Scans
  • Berichte über unsichere SSL/TLS-Chiffren
  • Jegliches DLL-Hijacking, außer wenn neue Privilegien erlangt werden können
ALLES ANZEIGEN

TL;DR – Wonach wir suchen

Hohe Priorität: Schwachstellen mit klaren Sicherheits- oder Geschäftsauswirkungen, idealerweise unterstützt durch einen funktionierenden Proof of Concept (PoC)
(z.B. Account-Übernahme, Datenlecks, Rechteausweitung, finanzielle Auswirkungen, Umgehung von Sicherheitskontrollen)


Niedrigere Priorität / Informativ:

  • Fehlende Best Practices oder Härtungsempfehlungen
  • Theoretische Probleme ohne realistisches Angriffsszenario
  • Konfigurationsfunde ohne nachweisbare Auswirkungen

Außerhalb des Geltungsbereichs:

  • Probleme in Drittanbieter-Software
  • Berichte, die nur veraltete Browser oder unrealistisches Benutzerverhalten betreffen
  • Automatisierte Scanner-Ergebnisse ohne manuelle Validierung
  • Öffentlich verfügbare oder nicht sensible Informationslecks

Wenn du dir nicht sicher bist, ob ein Problem auswirkungsreich ist, zeig es uns. Ein kurzer PoC oder ein Angriffsszenario, das reale Auswirkungen demonstriert, erhöht die Wahrscheinlichkeit der Akzeptanz und Belohnung erheblich.

ALLES ANZEIGEN

Was muss ich beachten?

Um bei unserem Vulnerability Disclosure Programm mitzumachen, ist folgendes zu beachten:

Von der Teilnahme ausgenommen sind die gesetzlichen Vertreter, aktuelle und ehemalige Mitarbeiter der Firmengruppe Gameforge AG und deren verbundenen Unternehmen sowie deren Angehörige. Minderjährige dürfen nur mit der Zustimmung des gesetzlichen Vertreters teilnehmen.


  • Die Gameforge hat ausreichend Zeit zur Reaktion und Fehlerbehebung.
  • Du hast im Rahmen des Sicherheitsuntersuchens alle Bemühungen unternommen und Vorkehrungen getroffen, den geprüften Dienst in seiner Verfügbarkeit nicht einzuschränken.
  • Du hast keine Daten Dritter ausgespäht und weitergegeben.
  • Du hast Dritte nicht über die Schwachstelle informiert.

Siehe auch: Regeln für dich

ALLES ANZEIGEN

Bug melden

Sicherheitsprobleme melden

Schwachstelle gefunden? Melde sie uns und hilf mit, unsere Dienste sicherer zu machen!