Vulnerability Disclosure Policy

Verbindlichkeit

DHL Group legt großen Wert auf Informationssicherheit. Wir verpflichten uns, die Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Informationen von DHL Group zu gewährleisten, um das Vertrauen unserer Kunden zu sichern.

Daher ist die Sicherheit unserer Online-Plattformen und -Anwendungen für uns von großer Bedeutung. Wir bitten Sie, Schwachstellen auf verantwortungsvolle Weise und in Übereinstimmung mit diesem Prozess offenzulegen. Anschließend überprüfen und beheben wir die Schwachstellen.

Safe-Harbor-Erklärung

Wenn Sie sich nach bestem Wissen und Gewissen bemühen, diese Richtlinie während Ihrer Sicherheitstests einzuhalten, betrachten wir Ihre Recherche als autorisiert. Wir werden mit Ihnen zusammenarbeiten, um gefundene Schwachstellen schnellstmöglich zu verstehen und zu beheben. DHL Group wird keine rechtlichen Schritte im Zusammenhang mit Ihrer Recherche empfehlen oder einleiten. Sollte ein Dritter aufgrund von Aktivitäten, die in Übereinstimmung mit dieser Richtlinie durchgeführt wurden, rechtliche Schritte gegen Sie einleiten, werden wir diese Autorisierung bekannt geben.

Wichtige Leitlinien

Im Rahmen dieser Richtlinie bezeichnet der Begriff „Recherche“ Aktivitäten bei denen Sie:

• uns so schnell wie möglich Informieren, wenn Sie ein tatsächliches oder potenzielles Sicherheitsproblem entdecken
• Verletzungen des Datenschutzes, Vertraulichkeitsbrüche, Beeinträchtigung der Benutzererfahrung, Störungen der Produktionssysteme sowie Zerstörung oder Manipulation von Daten vermeiden. Verursachen Sie keinen Schaden für die DHL Group, Mitarbeiter, Kunden und Benutzer.
• Versuchen Sie nicht, auf das Konto eines anderen Benutzers zuzugreifen oder vertrauliche Informationen der DHL Group zu gefährden.
• Exploits nur in dem Umfang, der notwendig ist, um das Vorhandensein einer Schwachstelle zu bestätigen, verwenden. Verwenden Sie einen Exploit nicht, um Daten zu kompromittieren oder zu exfiltrieren, Befehlszeilenzugriff und/oder Persistenz herzustellen oder  um auf andere Systeme überzugreifen
• uns eine angemessene Zeit geben, um das Problem zu lösen, bevor Sie es öffentlich machen. Die Veröffentlichung oder öffentliche Diskussion der Schwachstellen ist ohne vorherige schriftliche Zustimmung nicht erlaubt (einschließlich Proof of Concepts (PoC) auf z.B. YouTube, Github, Twitter oder Vimeo).
• Keine sensiblen oder persönlichen Daten in den Bericht über die offengelegten Schwachstellen aufnehmen

Sobald Sie eine Schwachstelle festgestellt haben oder auf sensible Daten (einschließlich personenbezogener Daten, finanzieller Daten,  geschützter Daten oder Geschäftsgeheimnisse ) gestoßen sind, müssen Sie Ihren Test abbrechen, uns sofort benachrichtigen und diese Daten nicht an Dritte weitergeben. Versuchen Sie nicht, die Existenz einer Schwachstelle zu nutzen, um auf die Daten zuzugreifen, sie zu speichern oder zu verwenden. Teilen Sie Ihre Ergebnisse und Kenntnisse aus Untersuchungen nur mit der DHL Group.

Da wir verschiedene automatische Scanner zur Schwachstellenverwaltung verwenden und diese Ergebnisse im Rahmen des regulären Geschäfts erhalten, können wir keine Einsendungen akzeptieren, die mit automatischen Scannern gefunden wurden.

Testmethoden

Bitte beachten Sie, dass die folgenden anwendungsbezogenen Schwachstellen und/oder Methoden für dieses Programm nicht relevant sind:

• Selbst-XSS, das nicht zur Ausnutzung anderer Benutzer verwendet werden kann
• Ausführliche Nachrichten/Dateien/Verzeichnislisten ohne Offenlegung sensibler Informationen
• CORS-Fehlkonfigurationen auf nicht sensiblen Endpunkten
• Fehlende Cookie-Flags, außer für Sitzungen
• Fehlende Sicherheitsheader
• Cross-Site Request Forgery mit geringer oder keiner Auswirkung
• Vorhandensein des Autocomplete-Attributs in Webformularen
• Verstoß gegen bewährte Verfahren (Passwortkomplexität, Ablauf, Wiederverwendung usw.)
• Clickjacking auf Seiten ohne sensible Aktionen
• Cross-Domain-Referrer-Leckage, außer bei Links für sensible Operationen (Passwortzurücksetzung usw.)
• Alles, was mit E-Mail-Spoofing, SPF, DMARC oder DKIM zu tun hat
• E-Mail-Bombardierung
• HTTP Request Smuggling ohne nachgewiesene Auswirkungen
• Banner-Grabbing/Versionsoffenlegung
• Offene Ports ohne beiliegenden Proof-of-Concept, der die Verwundbarkeit zeigt
• Schwache SSL-Konfigurationen und SSL/TLS-Scan-Berichte
• Metadaten von Bildern nicht entfernen
• Offenlegung von API-Schlüsseln ohne nachgewiesene Auswirkungen
• Same-Site Scripting
• Subdomain-Übernahme ohne Übernahme der Subdomain
• Beliebige Datei-Uploads ohne Nachweis der Existenz der hochgeladenen Datei
• Blind SSRF ohne nachgewiesene geschäftliche Auswirkungen (nur DNS-Pingback ist nicht ausreichend)

Allgemeine Prinzipien

• Wenn eine gemeldete Schwachstelle bereits aus unseren eigenen Tests oder Schwachstellenquellen bekannt ist, wird sie als Duplikat gekennzeichnet.
• Theoretische Sicherheitsprobleme ohne realistische Ausnutzungsszenarien oder Angriffsflächen oder Probleme, die komplexe Interaktionen mit Endbenutzern erfordern würden, können ausgeschlossen oder in ihrer Schwere reduziert werden.
• Folgende Tests und Methoden sind ebenfalls nicht genehmigt:
  1. Spam, social engineering, and physical intrusion
  2. DoS/DDoS attacks or brute force attacks
  3. Vulnerabilities that are limited to non-current browsers (older than 3 versions)
  4. Attacks requiring physical access to a victim’s computer/device, man in the middle or compromised user accounts
  5. Tests that are continued after a vulnerability was found and lead to the compromise of our systems.
• Berichte, die behaupten, dass die Software veraltet/verwundbar ist, ohne einen Proof-of-Concept, werden nicht akzeptiert.

Bitte beachten Sie, dass die folgenden mobilbezogenen Schwachstellen und/oder Methoden für dieses Programm nicht relevant sind:

• Geteilte Links, die über die Zwischenablage des Systems preisgegeben werden
• Offenlegung von URIs, weil eine bösartige App die Berechtigung zum Anzeigen von geöffneten URIs hat
• Sensible Daten in URLs/Anfragekörpern, wenn sie durch TLS geschützt sind
• Fehlende Verschleierung
• Offenlegung des Pfads in der Binärdatei
• Fehlende Jailbreak- und Root-Erkennung
• Abstürze aufgrund fehlerhafter URL-Schemas
• Fehlender binärer Schutz (Anti-Debugging)-Kontrollen, mobile SSL-Pinning
• Snapshot/Pasteboard-Leakage
• Laufzeit-Hacking-Exploits (Exploits, die nur in einer gejailbreakten Umgebung möglich sind)
• Angriffe, die physischen Zugriff auf das Gerät des Opfers erfordern

Umfang

Diese Richtlinie gilt für die all Systeme und Dienste der DHL Group, inklusive:

• *.dhl
• *.dhl.com
• *.dpdhl.com
• *.deutschepost.de
• *.dhl.de
• alle weiteren zu Firmen der DHL Group gehörenden Domains
• Mobile Apps zugehörig zu Firmen der DHL Group

Alle oben nicht ausdrücklich aufgeführten Dienste, wie z. B. alle damit verbundenen Dienste, sind vom Anwendungsbereich ausgeschlossen und sind nicht zur Prüfung zugelassen. Darüber hinaus fallen Schwachstellen, die in Systemen unserer Lieferanten gefunden werden, nicht in den Geltungsbereich dieser Richtlinie und sollten den Lieferanten gemäß ihrer Vulnerability Disclosure Policy (falls vorhanden) direkt gemeldet werden.

Wenn es ein bestimmtes System gibt, das zwar nicht in den Geltungsbereich fällt, Ihrer Meinung nach aber getestet werden sollte, setzen Sie sich bitte mit uns in Verbindung, um es zu besprechen. Wir werden den Geltungsbereich dieser Richtlinie im Laufe der Zeit erweitern. 

Prozess

Was wir gerne von Ihnen sehen würden:

Damit wir die Einsendungen besser einordnen und priorisieren können, empfehlen wir, dass Ihre Berichte:

• Die URL, an der die Sicherheitslücke entdeckt wurde und die möglichen Auswirkungen einer Ausnutzung aufzeigen.
• Eine detaillierte Beschreibung der Schritte enthalten, die erforderlich sind, um die Schwachstelle zu reproduzieren (Proof-of-Concept-Skripte oder Bildschirmfotos sind hilfreich).
• Möglichst in englischer Sprache verfasst sind.

Bitte senden Sie Ihre Berichte an unser Vulnerability Disclosure Program.

Was Sie von uns erwarten können:

Wir werden den Eingang Ihrer Meldung bestätigen.

Wir werden Ihnen das Vorhandensein der Schwachstelle nach bestem Wissen und Gewissen bestätigen und so transparent wie möglich darlegen, welche Schritte wir zu ihrer Behebung ergreifen, einschließlich der Probleme oder Herausforderungen, die die Lösung verzögern könnten.

DHL Group bietet keine Vergütung für die Meldung von Sicherheitslücken.

Melder, die DHL Group Schwachstellen melden, verzichten damit auf jegliche Entschädigungsansprüche.

Ausdrückliche Zustimmung

Indem Sie uns einen Bericht über eine Sicherheitslücke an unser Vulnerability Disclosure Program senden, erklären Sie sich mit den oben genannten Richtlinien einverstanden.