Heise-Sicherheitslücken melden

Niemand ist perfekt – auch wir haben Sicherheitslücken. Wenn du eine entdeckst, wäre es toll, wenn du uns dabei hilfst, sie zu beseitigen. Dabei steht für uns im Vordergrund, das ursächliche Problem schnellstmöglich aus der Welt zu schaffen und möglichen Schaden insbesondere für Dritte zu minimieren. Wichtig ist uns dabei ein konstruktiver, wertschätzender Umgang.

Also bitte, gib uns Bescheid, wenn du ein Sicherheitsproblem entdeckt hast. Sicherheitsforschende, die uns beim Schließen signifikanter Lücken geholfen haben, präsentieren wir in unserer Hall of Fame. Feste Prämien für das Finden und Melden von Sicherheitslücken bezahlen wir jedoch keine.

Tipps zum Melden

Wir nehmen Meldungen zu Sicherheitslücken ernst und sind dankbar für Hilfe beim Schließen. Damit das möglichst reibungslos und schnell klappt, hier ein paar Tipps für das effiziente Melden von Heise-Sicherheitslücken:

1. Schreibe eine Mail an: bugs@heise.de (Anmerkung: Bugs bei anderen Diensten sind bei der Redaktion in der Regel besser aufgehoben)
   
2. Beschreibe darin möglichst konkret, wo du den Bug gefunden hast. Gib uns eine URL, die IP oder was immer du an Koordinaten hast.
3. Beschreibe genau, was passiert, wenn man den Bug auslöst.
4. Beschreibe uns möglichst Schritt für Schritt, wie wir das reproduzieren können.
5. Manchmal hilft es, zu erklären, warum das ein Problem ist beziehungsweise, was durch diese Lücken schlimmstenfalls passieren könnte. (Anmerkung: Wir wissen durchaus, was zum Beispiel XSS ist und warum das gefährlich ist. Aber manchmal ist die Situation weniger eindeutig und dann hilft uns deine Einschätzung bei der Bewertung eines Sachverhalts)
6. Gib uns abschließend gerne eventuelle Tipps, wie wir das Problem beseitigen könnten.

Schön wäre es, wenn du uns eine Adresse gibst, wie wir dich für eventuelle Rückfragen erreichen können; aber wir nehmen natürlich auch anonyme Hinweise entgegen. Eine verschlüsselte Kommunikation etwa via PGP ist nach Absprache möglich.