Nehmen Sie an den täglichen Live-Webinaren teil, um sich über Automatisierungen, Rechnungsstellung und Teamwork auf dem Laufenden zu halten.

Bug Bounty

Melden Sie eine Sicherheits- oder Datenschutzschwachstelle

Die Bug Bounty Policy von TaxDome gilt für Sicherheitsschwachstellen, die in der für die Öffentlichkeit zugänglichen Online-Umgebung von TaxDome gefunden werden.

Zweck

Der Zweck dieser Richtlinie besteht darin, die Regeln für die Überprüfung, Bewertung, Anwendung und Verifizierung von System-Updates festzulegen, um Schwachstellen in der IT-Umgebung und die damit verbundenen Risiken zu verringern. Wenn Sie glauben, dass Sie eine Sicherheits- oder Datenschutzschwachstelle im TaxDome-Produkt entdeckt haben, melden Sie uns diese bitte.

Deaktivieren von Cookies

Sie können das Setzen von Cookies verhindern, indem Sie die Einstellungen Ihres Browsers anpassen (wie das geht, erfahren Sie in der Hilfe Ihres Browsers). Bitte beachten Sie, dass die Deaktivierung von Cookies die Funktionalität dieser und vieler anderer Websites, die Sie besuchen, beeinträchtigen wird. Die Deaktivierung von Cookies führt in der Regel auch zur Deaktivierung bestimmter Funktionen und Merkmale dieser Website. Es wird daher empfohlen, Cookies nicht zu deaktivieren.

Bounty- Voraussetzungen

Jeder Sicherheitsexperte ist verpflichtet, keine destruktiven Maßnahmen zu ergreifen, die zu Folgendem führen könnten:

  • Verlust von Daten anderer Benutzer
  • Denial of Service für andere Benutzer
  • Hinzufügen zu einer Sperrliste

Falls Sie eine Schwachstelle dieser Art vermuten, kontaktieren Sie bitte das TaxDome-Entwicklungsteam unter security@taxdome.com.


Sicherheitsstufen

Wir klassifizieren Schwachstellen auf der Grundlage ihrer potenziellen Auswirkungen auf unsere Systeme. Dies hilft uns, Prioritäten bei der Behebung von Schwachstellen zu setzen und angemessene Prämien festzulegen. Die einzelnen Stufen sind:

  • SEV-1 (niedriger Schweregrad): Es gibt derzeit keine Möglichkeit, die Sicherheitslücke auszunutzen, aber sie weist potenzielle Schwachstellen auf, die in Zukunft ausgenutzt werden könnten. 
  • SEV-2 (mittlerer Schweregrad): Die Schwachstelle ermöglicht es einem Angreifer, den Systembetrieb geringfügig oder begrenzt zu beeinflussen. Dies könnte einen begrenzten Datenzugriff oder die Umgehung kleinerer Einschränkungen beinhalten.
  • SEV-3 (hoher Schweregrad): Die Schwachstelle hat erhebliche Auswirkungen auf den Betrieb des gesamten Systems oder ermöglicht es einem Angreifer, Einschränkungen für eine begrenzte Anzahl von Daten zu umgehen.
  • SEV-4 (kritischer Schweregrad): Die Schwachstelle hat erhebliche Auswirkungen auf das gesamte System oder ermöglicht einem Angreifer den einfachen Zugriff auf eine erhebliche Menge an Daten.
  • SEV-5 (extremer Schweregrad): Die Sicherheitslücke gewährt einem Angreifer vollständigen und nicht nachweisbaren Zugriff auf das System. 

Beispiele für Sicherheitslücken nach Schweregrad

Hier finden Sie einige Beispiele für Sicherheitslücken, die nach ihrem Schweregrad klassifiziert sind: 

  • SEV-1 (niedriger Schweregrad): HTML-/Einschleusung von bösartigem Code/URL-Einschleusung; offene Umleitung
  • SEV-2 (mittlerer Schweregrad): Möglichkeit eines DOS-Angriffs (Denial of Service); ein Mitarbeiter ohne die erforderlichen Rechte kann sich Zugriff auf den Fragebogen und die Vorlagen verschaffen
  • SEV-3 (hoher Schweregrad): ein Angreifer kann die Mandanten eines Benutzers stehlen und die Mandanten über IDOR (Insecure Direct Object References) mit ihren Kontakten verknüpfen
  • SEV-4 (kritischer Schweregrad): ein Angreifer kann über IDOR unbefugten Zugriff erhalten, um Rechnungen aller Benutzer zu löschen 
  • SEV-5 (extremer Schweregrad): Ein Angreifer kann beliebigen Code einschleusen, der es ihm ermöglicht, das Konto eines Benutzers vollständig zu übernehmen, seine Daten zu stehlen und unbemerkt Aktionen in seinem Namen durchzuführen.

Schutz unserer Kunden vor Phishing

TaxDome ist bestrebt, seine Kunden vor Phishing-Angriffen zu schützen. Phishing-E-Mails sind betrügerische Versuche, Empfänger zur Preisgabe sensibler Informationen wie Benutzernamen, Passwörter oder Finanzdaten zu verleiten. Manchmal scheinen diese E-Mails von legitimen Quellen zu stammen, z.B. von einem Kanzleiinhaber, der TaxDome nutzt.

Worauf Sie achten sollten

Phishing-E-Mails können sehr überzeugend sein, aber es gibt einige Warnhinweise, auf die Sie achten sollten:

  • Die E-Mail-Adresse könnte einem seriösen Absender ähnlich sehen, aber leichte Abweichungen aufweisen (z.B. ein zusätzliches Zeichen oder ein anderer Domainname)
  • Die E-Mail spricht Sie möglicherweise allgemein an, anstatt Sie mit Ihrem Namen anzusprechen
  • Die E-Mail kann ein Gefühl der Dringlichkeit oder des Drucks vermitteln, schnell zu handeln.
  • Phishing-E-Mails enthalten oft grammatikalische Fehler oder Tippfehler

Wenn Sie eine verdächtige E-Mail erhalten, in der behauptet wird, sie stamme von Ihrem Kanzleiinhaber oder von TaxDome, klicken Sie bitte nicht auf Links oder Anhänge.

Phishing-Versuche melden

Obwohl wir Ihre Aufmerksamkeit zu schätzen wissen, beachten Sie bitte, dass Meldungen über Phishing-Versuche nicht für unser Bug Bounty-Programm in Frage kommen. Unser Programm konzentriert sich auf die Identifizierung von Schwachstellen innerhalb der TaxDome-Plattform selbst.

Regeln des Programms

Bitte beachten Sie, dass wir nur Prämien für die Erstmeldung zahlen. Wenn ein Duplikat registriert wird, informieren wir Sie, wenn der erste Bericht eingereicht wird.

Unzulässige Berichte::

  • Alles, was nicht unter unserer Kontrolle liegt (Dienste von Drittanbietern, einschließlich, aber nicht beschränkt auf Site.pro, featureOS, Intercom, Beamer, Customer.io)
  • Alles, was einen physischen Zugang zum Gerät oder Netzwerk erfordert
  • Alles, was veraltete Versionen von Software oder Hardware voraussetzt
  • Social Engineering, Phishing, usw.
  • Empfehlungen und bewährte Praktiken, solange es keinen spezifischen MIssbrauch gibt

TaxDome ist nicht verpflichtet, im Falle der Unzulässigkeit der Sicherheitsmeldung eine detaillierte Erklärung abzugeben.

Wie melde ich Sicherheits- oder Datenschutzschwachstellen?

  1. Sie werden eine Antwort von TaxDome erhalten, um zu bestätigen, dass wir Ihre Meldung erhalten haben. Wir werden Sie innerhalb von 10 Werktagen kontaktieren, wenn wir weitere Informationen benötigen.
  2. Wenn Sie glauben, eine Sicherheits- oder Datenschutzschwachstelle entdeckt zu haben, die TaxDome-Software, -Dienste oder -Webserver betrifft, melden Sie uns diese bitte.
  3. Wir freuen uns über Berichte von allen, einschließlich Sicherheitsexperten, Entwicklern und Kunden.
  4. Um eine Sicherheits- oder Datenschutzschwachstelle zu melden, senden Sie eine E-Mail an security@taxdome.com und fügen Sie Ihrer Nachricht entsprechende Videos, Absturzprotokolle und Systemdiagnoseberichte bei.

Zuletzt aktualisiert September 13, 2024