Beitragen

Übersicht

Die Prüfung durch unabhängige Expertinnen und Experten erlaubt es, Schwachstellen zu finden und das E-Voting-System zu verbessern.

Bestätigte Schwachstellen und weitere Meldungen sind auf GitLab aufgeführt.

So können Sie beitragen

  • Vorzugsweise melden Sie uns Ihre Befunde auf GitLab. Hier erhalten Sie eine Übersicht über die verschiedenen Meldungen und können sich mit unserem E-Voting-Team und der Community darüber austauschen.
  • Alternativ können Sie ihre Meldung über ein Online-Formular eingeben.
  • Die Post belohnt den Melder oder die Melderin einer bestätigten Schwachstelle im Rahmen des Bug-Bounty-Programms. Sie können für bestätigte Befunde, die Sie über GitLab oder per Online-Formular eingegeben haben, nachträglich eine Belohnung beantragen, indem Sie diese zusätzlich auf der Bug-Bounty-Plattform eintragen oder ihren Befund direkt auf YesWeHack erfassen.
  • Bitte lesen Sie den Code of Conduct durch, bevor Sie uns eine Meldung eingeben.

Nehmen Sie jetzt am Bug-Bounty-Programm teil

Möchten Sie mehr über unser Bug-Bounty-Programm erfahren und sich dafür anmelden? Teilnahmebedingungen und Anmeldung auf YesWeHack.

Teilnehmen

So prüfen wir Meldungen

Meldungen werden eingehend von unseren Spezialistinnen und Spezialisten analysiert und helfen uns, das E-Voting-System zu verbessern. Es ist uns ein Anliegen, jeden Befund rasch zu prüfen und zu beantworten.

Nachstehend ist der Prozess rund um die Meldung eines Befundes beschrieben.

  • Wir prüfen eingehende Meldungen auf Vollständigkeit und fragen bei Bedarf nach, um weitere Informationen zu erhalten.
  • Danach wird ein Ticket erstellt, das unsere zuständige Fachperson analysiert.
  • Die Melderin oder der Melder erhält eine Information, dass seine Meldung in Bearbeitung ist.
  • Sobald wir die Analyse abgeschlossen haben und einen Befund bestätigen konnten, wird er als «bestätigter Befund» klassifiziert und auf GitLab veröffentlicht.
  • Bei allen Meldungen, die als «hoch» oder «kritisch» eingestuft werden, muss bei der Meldung das Feld «vertraulich» angewählt  werden. Diese werden vertraulich bearbeitet. In diesen Fällen gilt die «Coordinated Vulnerability Disclosure».
  • Jeder Melderin und jedem Melder steht es zudem unabhängig vom Schweregrad der Meldung frei, diese der Post vertraulich einzureichen.

Bitte berücksichtigen Sie unseren Code of Conduct.

CVE-Programm

Die Post unterstützt die Common Vulnerabilities and Exposures (CVE). Für bestätigte kritische Schwachstellen begrüssen wir die Eingabe eines CVE und unterstützen die Melderin oder den Melder dabei.

Wie belohnen wir Befunde?

Die Post belohnt ausschliesslich bestätigte Befunde. Unsere Belohnungen reichen je nach Kritikalität der Schwachstelle von 100 Euro bis 230 000 Euro. Das detaillierte Belohnungsraster ist auf YesWeHack verfügbar.

Für ein Anrecht auf eine Belohnung ist eine Anmeldung und Identifikation auf YesWeHack erforderlich.

Die Post startet Bug-Bounty-Programme jeweils mit einer kleinen Gruppe von interessierten Fachleuten und weitet den Teilnehmerkreis sukzessive aus, bis das Programm öffentlich wird. In das private Bug-Bounty-Programm zu E-Voting, das Anfang September in das öffentliche Programm überführt worden ist, waren mehr als 1500 Hunter eingeladen. Diese haben 39 Meldungen eingegeben, wovon neun bestätigt wurden. Dafür hat die Post 49 450 Euro an die Melderinnen und Melder ausbezahlt.