1. Scope

Welche Domains, Subdomains und Apps sind relevant? 
Folgende Seiten sind uns besonders wichtig:

• sweap.io 

• app.sweap.io 

• *.sweap.io (except test and development sides)

• Sweap App iOS 

Für andere Seiten nehmen wir gerne Meldungen entgegen, sie sind aber nicht Teil dieses Programms.

Außerhalb des Geltungsbereichs sind insbesondere, sofern nicht oben genannt:

• IPs, die auf Sweap bzw. MATE Development GmbH registriert sind

• Seiten mit einem Zertifikat von Sweap 

• Seiten auf denen nur das Wort „Sweap“, „Sweap.io“, „Mate“ oder „Mate Development GmbH“ vorkommt

2. Responsible Disclosure

Um eine Belohnung erhalten zu können, halte bitte folgenden Meldevorgang ein: 

• Wir brauchen ausreichend Zeit zum Beantworten deiner E-Mail und zum Beheben der Schwachstelle. 

• Die Sicherheitslücke darf, bevor sie behoben ist, keinem/keiner Dritten bekannt gemacht werden. 

• Bitte gib uns Informationen zur Verifizierung und Reproduktion der Sicherheitslücke – am besten ein Proof of Concept Skript.

• Was wir nicht im Rahmen von Meldungen erhalten wollen, sind:

  • Personenbezogene Daten (Personally identifiable information)

  • Kreditkartendaten 

• Bitte teile uns die IP mit, von der aus du getestet hast. So können wir die Sicherheitslücke besser nachvollziehen.

• Sende uns bitte pro E-Mail nur eine Meldung.

• Sende uns bitte eine weitere E-Mail, wenn du eine weitere Schwachstelle gefunden hast. 

Dafür bieten wir: 

• Eine schnelle Reaktion (Eingangsbestätigung) auf deine Meldung kommt sofort und in der Regel wird eine Meldung innerhalb von zwei Werktagen beantwortet. 

• Wir garantieren keine rechtlichen Maßnahmen gegen dich einzuleiten. 

• Wir schließen die gefundene Sicherheitslücke schnellstmöglich.

• Nachdem wir die Lücke bestätigt und behoben haben, wird dir eine Belohnung ausgezahlt. 

3. Sicherheits­lücken und Schwach­stellen auf­decken

Uns ist es besonders wichtig, die Daten unserer Kund*innen zu schützen.

Sicherheitslücken, die diese Daten offenlegen, haben besondere Wichtigkeit. Als Lücke oder Schwachstelle zählt alles, was mindestens eine der folgenden Anforderungen erfüllt:

• Es wird nicht autorisierter Code ausgeführt. 

• Sensible Informationen werden offengelegt (z.B. Passwörter). 

• Es wird die Integrität von Systemen beeinträchtigt.

• Benutzerdaten werden offengelegt. 

• Benutzerdaten werden verändert. 

• Unautorisierter Zugriff auf sensible Daten oder Ressourcen wird ermöglicht.

• Privilegien werden erhöht. 

• Das System von Benutzer:innen kann beschädigt werden. 

Zudem müssen die Lücken auf jeden Fall: 

• tatsächlich ausgenutzt werden können (bitte melde uns keine theoretischen Lücken), 

• aus dem Internet heraus ausnutzbar sein. 

Bitte achte darauf: 

• Unsere Infrastruktur darf nicht beeinträchtigt werden – keine Brute-Force-Angriffe oder Scanner mit mehr als einer Anfrage pro Sekunde (1 Request pro Sekunde)! 

• Die Privatsphäre unserer User hat die höchste Priorität: Sensible Daten dürfen nicht verändert, gelöscht, heruntergeladen oder veröffentlicht werden. Solltest du vermuten, dass du auf sensible Daten zugreifen kannst, kontaktiere uns und wir stellen einen Testaccount zur Verfügung oder du nutzt deinen von dir angelegten Free-Account. 

4. Ausgenommene Sicherheitslücken 

Ausgenommen aus dem Programm sind die folgenden Schwachstellen-Kategorien: 

• Social Engineering, Spam, Phishing, etc.

• physische Angriffe, z.B. Einbruch 

• DDOS-Angriffe und Angriffe, die ein hohes Datenvolumen erfordern 

• Schwachstellen oder 0-Days in Drittsoftware oder Webseiten, die nicht der MATE Development GmbH gehören 

• Clickjacking-Angriffe 

• DNS-Fehlkonfigurationen, z.B. nicht-restriktive SPF-Records

• fehlende Best-Practices in Headern, SSL/TLS, DNS 

• Schwachstellen und Hintertüren, verursacht von Malware 

• POST-basiertes reflected XSS, CSRF login/logout 

• Benutzer-Enumeration und unzureichende Passwort-Komplexität 

• Direkter IP-Zugriff

• Fehlendes Rate-Limiting 

• Schwachstellen, die nur ausgenutzt werden können, wenn ein anderes Konto eines Benutzers, z.B. E-Mail, kompromittiert ist

5. Deine Belohnung

Damit wir deine Belohnung auszahlen: 

• Vergewissere dich, dass du die Kriterien, die wir unter „Responsible Disclosure“ und „Sicherheitslücken und Schwachstellen“ aufgelistet haben, erfüllst.

• Deine Meldung ist die erste Meldung zur Sicherheitslücke. Gleiche Meldungen für unterschiedliche Domains werden zu einer Meldung zusammengefasst. 

• Du bist keine Mitarbeiterin der MATE Development GmbH, eines Zulieferers oder eines Vertragspartners bzw. -partnerin. 

• Du musst für die Belohnung eine Rechnung an die MATE Development GmbH schreiben. Du bist für alle steuerlichen Auswirkungen verantwortlich, die von deinem Wohnsitzland und deiner Staatsangehörigkeit abhängen. Je nach örtlichem Recht kann es zusätzliche Beschränkungen für deine Teilnahme geben. Wir zahlen grundsätzlich nur per Überweisung und in Euro aus. Eine Belohnung in Bitcoins, oder ähnlichem ist grundsätzlich ausgeschlossen. 

• Wir können keine Auszahlungen an Personen vornehmen, die auf Sanktionslisten stehen oder sich in Ländern befinden, die auf Sanktionslisten stehen (z. B.: Kuba, Iran, Nordkorea, Syrien, Krim, Russland). 

• Die Belohnung basiert auf der Schwere der Lücke, dem Aufwand, die Lücke zu finden und der Qualität des Reports. Dies wird durch uns nach eigenem Ermessen festgelegt. Wir orientieren uns am CVSS 3.1 Base Score. 

6. So meldest du eine Lücke 

Wenn du eine Sicherheitslücke oder eine Schwachstelle gefunden hast, dann schicke uns bitte eine E-Mail an bugbounty@sweap.io. Über diese E-Mail-Adresse erreichst du uns auch, wenn du Fragen oder Anmerkungen zum Bug-Bounty-Programm hast. 

Dies ist kein Wettbewerb, sondern ein Belohnungsprogramm nach eigenem Ermessen.  

• Wir behalten uns vor, dass wir das Programm jederzeit beenden können. 

• Die Entscheidung, ob eine Prämie ausgezahlt wird oder nicht, liegt ganz in unserem Ermessen. 

Vielen Dank,

dein Sweap Security Team