Malwarebytes Richtlinien für das Programm zur verantwortungsvollen Offenlegung

Verantwortungsvolle vs. nicht-verantwortungsvolle Offenlegung

Unserer Erfahrung nach sind (a) die Veröffentlichung von Proof-of-Concept-Exploit-Code, (b) unnötige Details, um die Sache zu verdeutlichen, oder (c) die Veröffentlichung von Details zu Sicherheitslücken, bevor eine Lösung verfügbar ist, unverantwortliche Veröffentlichungen, die mehr schaden als nutzen, da sie unnötige Aufmerksamkeit auf ein Sicherheitsproblem lenken. Aus diesem Grund werden im Rahmen des Malwarebytes CVD-Programms nur Bug Bounties an Melder vergeben, die sich an die Richtlinien zur verantwortungsvollen Veröffentlichung von Informationen halten.

Was verstehen wir unter Bug Bounty?

Malwarebytes bietet Geldprämien für die interessantesten Bugs. Der Betrag, der für interessante Bugs vergeben wird, hängt von der Schwere des Bugs und der Ausnutzbarkeit ab. Malwarebytes behält sich jedoch das Recht vor, diesen Betrag von Fall zu Fall zu erhöhen. Außerdem werden CVEs zugewiesen und unter malwarebytes aufgelistet malwarebytes

Welche Vertraulichkeitsverpflichtungen gehe ich mit der Einreichung eines Beitrags ein?

Wenn Sie uns eine Einsendung für dieses Programm schicken, erklären Sie sich damit einverstanden, dass Sie funktionierenden Exploit-Code (einschließlich Binärdateien dieses Codes) für die betreffende Schwachstelle erst dann an andere Unternehmen weitergeben, wenn die Behebung der Schwachstelle bestätigt wurde, es sei denn, Malwarebytes stellt diesen Code allgemein zur Verfügung oder Sie sind gesetzlich verpflichtet, ihn offenzulegen. Dies hindert Sie nicht daran, die Schwachstelle zu diskutieren oder die Auswirkungen des Exploits im Code zu zeigen.

Welche Arten von Schwachstellen akzeptiert das CVD-Programm?

Bitte beachten Sie die HackerOne-Programmrichtlinien.

Zuletzt bearbeitet August 13, 2025