Beitragen

Die Prüfung durch unabhängige Expertinnen und Experten erlaubt es, Schwachstellen zu finden und das E-Voting-System zu verbessern.

Nachstehend finden sich einige Zahlen zu den Meldungen, die seit dem Start des Community-Programms Anfang 2021 bei der Post eingegangen sind. Die bestätigten Befunde werden nach ihrem Schweregrad kategorisiert.

Diese Angaben werden regelmässig aktualisiert (aktueller Stand 02.04.2024).

Eine Übersicht aller Meldungen finden Sie auf GitLab.Target not accessible

• Vorzugsweise melden Sie uns Ihre Befunde auf GitLabTarget not accessible. Hier erhalten Sie eine Übersicht über die verschiedenen Meldungen und können sich mit unserem E-Voting-Team und der Community darüber austauschen.
• Alternativ können Sie ihre Meldung per verschlüsseltem E-Mail-Versand (IncaMail) oder über ein Online-Formular eingeben.
• Die Post belohnt den Melder oder die Melderin einer bestätigten Schwachstelle im Rahmen des Bug-Bounty-Programms. Sie können für bestätigte Befunde, die Sie über GitLab, per IncaMail oder per Online-Formular eingegeben haben, nachträglich eine Belohnung beantragen, indem Sie diese zusätzlich auf der Bug-Bounty-Plattform eintragen oder ihren Befund direkt auf YesWeHack erfassen.
• Bitte lesen Sie den Code of Conduct durch, bevor Sie uns eine Meldung eingeben.

Meldungen werden eingehend von unseren Spezialistinnen und Spezialisten analysiert und helfen uns, das E-Voting-System zu verbessern. Es ist uns ein Anliegen, jeden Befund rasch zu prüfen und zu beantworten.

Nachstehend ist der Prozess rund um die Meldung eines Befundes beschrieben.

• Wir prüfen eingehende Meldungen auf Vollständigkeit und fragen bei Bedarf nach, um weitere Informationen zu erhalten.
• Danach wird ein Ticket erstellt, das unsere zuständige Fachperson analysiert.
• Die Melderin oder der Melder erhält eine Information, dass seine Meldung in Bearbeitung ist.
• Sobald wir die Analyse abgeschlossen haben und einen Befund bestätigen konnten, wird er als «bestätigter Befund» klassifiziert und auf GitLab veröffentlicht.
• Bei allen Meldungen, die als «hoch» oder «kritisch» eingestuft werden, muss bei der Meldung das Feld «vertraulich» angewählt  werden. Diese werden vertraulich bearbeitet. In diesen Fällen gilt die «Coordinated Vulnerability Disclosure».
• Jeder Melderin und jedem Melder steht es zudem unabhängig vom Schweregrad der Meldung frei, diese der Post vertraulich einzureichen.

Bitte berücksichtigen Sie unseren Code of Conduct.

Die Post unterstützt die Common Vulnerabilities and Exposures (CVE). Für bestätigte kritische Schwachstellen begrüssen wir die Eingabe eines CVE und unterstützen die Melderin oder den Melder dabei.

Die Post belohnt ausschliesslich bestätigte Befunde. Unsere Belohnungen reichen je nach Kritikalität der Schwachstelle von 100 Euro bis 230 000 Euro. Das detaillierte Belohnungsraster ist auf YesWeHackTarget not accessible verfügbar.

Für ein Anrecht auf eine Belohnung ist eine Anmeldung und Identifikation auf YesWeHackTarget not accessible erforderlich.

Gemäss den rechtlichen Vorgaben werden sämtliche Teile des E-Voting-Prozesses geprüft, auch solche ausserhalb des E-Voting-Systems der Post. Weitere Lieferanten/ Partner der Kantone veranstalten eigene Bug Bounty-Programme.

Mehr erfahren