Verantwortungsvolle Offenlegung von Sicherheitslücken

Dieses Dokument wurde zuletzt am 03.01.2014 aktualisiert.

Strategie zur verantwortungsvollen Offenlegung

Die Informationen auf dieser Seite sind für Sicherheitsanalysten ausgelegt, die dem Sicherheitsteam von Netflix Sicherheitslücken melden möchten. Sollten Sie ein Netflix-Mitglied sein und Fragen bezüglich Betrugs oder Malware haben, lesen Sie bitte folgende Support-Seiten:

Wenn Sie als Kunde Informationen zu Ihrem Konto, der Rechnungsstellung oder den Inhalten unserer Seite haben, können Sie sich telefonisch oder per Live-Chat an unseren Kundensupport wenden.

Sollten Sie eine Sicherheitslücke in den Netflix-Inhalten oder -Anwendungen entdeckt haben, informieren Sie uns bitte schnellstmöglich darüber und veröffentlichen Sie Ihre Informationen nicht anderweitig, bevor wir das Problem behoben haben. Wir schätzen Ihre Unterstützung sehr und werden uns schnellstmöglich alle Meldungen ansehen, um das Problem zeitnah zu beheben. Wir möchten die verantwortungsvolle Offenlegung unterstützen und werden daher keine rechtlichen Schritte gegen Sie einleiten, sofern die Meldung folgende Richtlinien befolgt.

Richtlinien zur verantwortungsvollen Offenlegung

  • Informieren Sie Netflix und geben Sie uns genaue Informationen über die Sicherheitslücke. Bitte geben Sie uns eine angemessene Frist, um das Problem zu beheben, bevor Sie sich damit an die Öffentlichkeit wenden.
  • Geben Sie uns entsprechende Einzelheiten zu der Lücke, damit wir das Problem nachvollziehen und reproduzieren können. Zu den Einzelheiten gehören Zieladressen, Anfrage-Antwort-Paare, Screenshots und/oder weitere Informationen.
  • Wir werden dann Ihre E-Mail-Adresse bestätigen und die Gültigkeit und Reproduzierbarkeit des Problems überprüfen. Bei gültigen Problemen werden wir uns schnellstmöglich mit der Lösung befassen und Sie über den Fortschritt auf dem Laufenden halten.
  • Bitte bemühen Sie sich beim Durchführen Ihrer Sicherheitsanalysen, Dienstunterbrechungen (z. B. DoS), Datenschutzverletzungen (also den Zugriff auf Daten von Netflix-Kunden) sowie die Löschung und Beschädigung von Daten zu vermeiden.
  • Erwarten Sie keine Entschädigung für die Meldung von Sicherheitslücken, weder von Netflix noch von externen Anbietern mit Schwachstellen.
  • Phishing oder Beeinflussung von Mitarbeitern oder Kunden von Netflix ist nicht zulässig.
  • Senden Sie uns keine Ergebnisse automatischer Scantools, sofern Sie das Problem und dessen Existenz nicht selbst überprüft haben. Viele Sicherheitstools erzeugen falsche Fehlermeldungen, die zunächst von der meldenden Person bestätigt werden müssen.

Sicherheitslücken, die uns besonders interessieren

Wir sind insbesondere an Informationen über Sicherheitslücken der folgenden Kategorien interessiert:

  • Cross-Site-Scription (XSS)
  • Cross Site Request Forgery (CSRF / XSRF)
  • SQL-Injection (SQLi)
  • Authentifizierungslücken
  • Berechtigungslücken
  • Datengefährdung
  • Um-/Weiterleitungen
  • Ausführung von Fernbefehlen
  • Besonders ausgeklügelte Lücken oder einzigartige Probleme, die in keine der genannten Kategorien fallen

Sicherheitslücken, die uns nicht interessieren

Die folgenden Kategorien an Sicherheitslücken fallen nicht in unser Programm zur verantwortungsvollen Offenlegung und werden daher in der Danksagung an unsere Analysten nicht erfasst.

  • Mit der Konfiguration oder Version in Bezug stehende SSL-Schwachstellen
  • Denial of Service (DoS)
  • Benutzererfassung
  • Brute-Force-Angriffe
  • Fehlendes Secure-Attribut bei nicht sensiblen Cookies
  • Fehlendes HTTPOnly-Attribut
  • Cross Site Request Forgery (CSRF / XSRF) beim Ausloggen
  • Probleme, die ausschließlich in älteren Versionen von Browsern/Plugins oder nicht mehr unterstützter Software auftreten
  • Aktivierte HTTP-TRACE-Methode
  • Sicherheitsberichte zu gemeldeten Versionsnummern von Webservern, Diensten oder Frameworks
  • Clickjacking auf Seiten ohne Authentifizierung und/oder sensible Statusänderungen
  • Sicherheitsberichte, die vom Benutzer eine unwahrscheinliche oder unverhältnismäßig aufwändige Eingabeaktion erfordern und so eher einer aktiven Täuschung/Beeinflussung oder einem Phishing-Angriff gleichkommen als einer tatsächlichen Sicherheitslücke (z. B. das Deaktivieren der Sicherheitsfunktionen des Browsers; Übermittlung von Informationen an den Angreifer, ohne die der Angriff sonst nicht abgeschlossen werden kann; Anleitung eines Benutzers durch einen bestimmten Vorgang, so dass er den gefährlichen Code selbst eingibt/aktiviert usw.)

So melden Sie eine Sicherheitslücke

Melden Sie Sicherheitslücken bei Netflix bitte an folgende E-Mail-Adresse security-report@netflix.com. Sollten Sie die E-Mail lieber verschlüsseln wollen, können Sie den folgenden PGP-Schlüssel verwenden.

PGP-Schlüssel

-----BEGIN PGP PUBLIC KEY BLOCK-----
Comment: GPGTools - https://gpgtools.org
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=Mwb9
-----END PGP PUBLIC KEY BLOCK-----

Teilnehmende Sicherheitsanalysten – 2017

Netflix bedankt sich aufrichtig bei den folgenden Sicherheitsanalysten für ihre Teilnahme an unserem Programm zur verantwortungsvollen Offenlegung.

  • Sumit Sahoo (@54H00)
  • Suyog Palav (@SuyogPalav555)
  • Maurice Dibbets
  • Jon Bottarini (@jon_bottarini)
  • Dhaval Chauhan (@17haval)
  • Jean St-Laurent (@JeanDebogue)
  • Eusebiu Blindu (@testalways)
  • Akash Saxena (@AkashSaxena21)
  • Joshua Hnat
  • Jack Whitton (@fin1te)
  • Warren Doyle (@wdoyle2)
  • Ashish Kumar Agarwal (@ashishag29)
  • Marek Szustak (@mszustak)
  • GwanYeong Kim (@sec_karas)
  • Raad Firas Haddad (@raadfhaddad)
  • Rémy Marot (@R_Marot)
  • Vineet Kumar (@the_real_clown)
  • Wen Bin KONG (@kongwenbin)
  • Dor Shahaf
  • Ali Hassan Ghori (@alihasanghauri)

Teilnehmende Sicherheitsanalysten – 2016

Netflix bedankt sich aufrichtig bei den folgenden Sicherheitsanalysten für ihre Teilnahme an unserem Programm zur verantwortungsvollen Offenlegung.

  • Fredrik Nordberg Almroth (@almroot)
  • Ofer Gayer (@ZigZag_IL)
  • Daniel Bakker (@jackds1986)
  • Ahmed Adel Abdelfattah (@00SystemError00)
  • Mustafa Hasan (@strukt93)
  • Gerardo Venegas (@v0raz)
  • Mikołaj Dądela (@mik01aj)
  • Marwan Medhat (@SpringStatue)
  • Nenad Borovčanin (@nenad_b97)
  • Bernardo Diaz (@bada_77)
  • Caden Sumner (@CadenSumner)
  • David Moore (@grajagandev)
  • Eric Head (@codecancare)
  • Ruslan Bakhvala (@ruslan_bakhvala)
  • Robert Adam (@robertadam0)
  • Brett Buerhaus (@bbuerhaus)
  • Ben Sadeghipour (@NahamSec)
  • Jake Reynolds (@jreynoldsdev)
  • Mohammad Aman Khan (@khn_amn)
  • Keith Gardner (@kreios4004)
  • Anas Falhi (@M0ti0nl3ss_)
  • Jon Bottarini (@jon_bottarini)
  • Teemu Kääriäinen (@NixuTigerTeam)
  • Tommy DeVoss (@thedawgyg)
  • David Mann (@stembrain)
  • Anand Bhat (@_anandbhat)
  • Shay Shavit (@Chapakpuk)
  • Djaballah Mohamed Taher (@Djaballah_Med_T)
  • Rakesh Chinna (@rakesh_3895)
  • Naftali Rosenbaum (kein Twitter-Handle)
  • Arne Swinnen (@arneswinnen)
  • David Wind (@slashcrypto)
  • Michael Carlson (@blainecarlson)
  • Yasin Soliman (@SecurityYasin)
  • Abner Mendoza
  • Phakpoom Chinprutthiwong
  • Suleman Malik (@sulemanmalik_3)
  • Ali Hassan Ghori (@alihasanghauri)

Teilnehmende Sicherheitsanalysten – 2015

Netflix bedankt sich aufrichtig bei den folgenden Sicherheitsanalysten für ihre Teilnahme an unserem Programm zur verantwortungsvollen Offenlegung.

  • Fredrik Nordberg Almroth (@almroot)
  • Jonathan Conerly
  • Ali Hassan Ghori (@alihasanghauri)
  • Behrouz Sadeghipour und Patrik Fehrenbach (@NahamSec)
  • Stephen Tomkinson (@neonbunny9)
  • David Dworken (@ddworken)
  • White Rabbitz (GER)
  • Christopher Presley (@The_Beard_Lives)
  • @insaneasusual
  • Mo'men Basel (@MomenBassel)
  • jamm0 (@jamm0us)
  • MentaL (@ragezone)
  • Frank B. Vickers (@SarccastikDude)
  • Ashar Javed (@soaj1664ashar)
  • Abdel Hafid Ait Chikh (@HafidAitChikh)
  • Guillaume Prieur (@gplaurin)
  • Jesse Clark (@Hogarth45_ND)
  • Ryan Preston (@ripr4p)
  • Mikael Byström (@gsocgsoc)
  • Tod Beardsley (@todb)

Teilnehmende Sicherheitsanalysten – 2014

Netflix bedankt sich aufrichtig bei den folgenden Sicherheitsanalysten für ihre Teilnahme an unserem Programm zur verantwortungsvollen Offenlegung.

  • Ali Hassan Ghori (@alihasanghauri)
  • Cameron Crowley (@crowley_cam)
  • S.Venkatesh (@PranavVenkatS)
  • Rodolfo Godalle, Jr. (@rodgodalle)
  • Garrett Calpouzos (@GCalps)
  • Guillermo Gabarrín (@ggabarrin9)
  • Kamil Sevi (@kamilsevi)
  • Waqeeh Ul Hasan (@dowaqeeh)
  • Jared Perry (@jared_perry)
  • Robert Williamson (@bobbyman3)
  • Burak Bakir (@pr3d1c7)
  • Andrew Neculaesei (@neculaesei)
  • Ketan Sirigiri (@Cigniti)
  • Gineesh George (@g1n1_influenza)
  • Dan Singerman (@dansingerman)
  • Kenneth F. Belva (@infosecmaverick)
  • Akbar Qureshi (@_AkbarQ)
  • Web Plus
  • Ch. Muhammad Osama (@ChMuhammadOsama)
  • Nitin Goplani (@nitingoplani88)
  • Marcin Piosek (@piochu)
  • Abderrazak YS. (@Y33OULS)
  • Han Lee (@_hanlee)
  • Caleb Watt (@calebwatt15)
  • Krishna Chaitanya Kadaba (@cigniti)
  • Gustavo de Oliveira (@highustavo)
  • Sergio Galán (@NaxoneZ)
  • Rafael Pablos
  • kminthant (@psxchotic)
  • Louis Nadeau (@cybpoulet)
  • Kyle Davidson (@X942_Dev)
  • Robert Verderame (@robertverderame)
  • Olivier Beg (@smiegles)
  • Tim Jenson (@timFGO)
  • Robert Daniel (@_drxp)
  • Danish Tariq
  • Justin Kennedy (@jstnkndy)
  • Christopher Presley (@The_Beard_Lives)
  • Malte Batram (@_batram)
  • David Middlehurst (@dtmsecurity)
  • Francisco Correa (@panchocosil)
  • Mohamed Abdelbaset Elnoby (@SymbianSyMoh)
  • Jack (@linkcabin)
  • David Vieira-Kurz (@secalert)

Teilnehmende Sicherheitsanalysten – 2013

Netflix bedankt sich aufrichtig bei den folgenden Sicherheitsanalysten für ihre Teilnahme an unserem Programm zur verantwortungsvollen Offenlegung.

  • Paul Scott
  • Jack W (@fin1te)
  • Murat Suljovic
  • Rakan Alotaibi (@hxteam)
  • Reginaldo Silva (@reginaldojsf)
  • Rafay Baloch (@rafaybaloch)
  • Kamil Sevi (@kamilsevi)
  • Chiragh Dewan (@ChiraghDewan)
  • Frans Rosén
  • Sabari Selvan (@EHackerNews)
  • Adam Ziaja (@adamziaja)
  • Yuji Kosuga (@yujikosuga)
  • Emanuel Bronshtein (@e3amn2l)
  • Siddhesh Gawde
  • Malte Batram (@_batram)
  • Ahmad Ashraff (@yappare)
  • Camilo Galdos Aka Dedalo (@SeguridadBlanca)
  • Sergiu Dragos Bogdan
  • Aditya K. Sood (@AdityaKSood)
  • Mohankumar Vengatachalam (@vimokumar)
  • Johnathan Kuskos (@johnathankuskos)
  • Evgueni Erchov (@EErchov)
  • Dylan S. Hailey (@TibitXimer)
  • Rajat Bhargava
  • Ehraz Ahmed (@securityexe)
  • Abhinav Karnawat (w4rri0r)
  • Ajay Singh Negi (@AjaySinghNegi)
  • Peter Jaric (@peterjaric)
  • David Hoyt (@cloudscan)
  • Tarek Siddiki
  • Devesh Bhatt (@deveshbhatt11)
  • Defencely @Defencely
  • Matt Ashburn @mattashburn
  • Yaroslav Olejnik - O.J.A. (@oja_c7s)
  • Rupesh Reddy (_hck3r)
  • Stewart Anderson (@StewieMAnderson)
  • Florindarck (@QuisterTow)
  • Ali Hassan Ghori (@alihasanghauri)
  • Muhammad Shahmeer (@Shahmeer_Amir)