Der Sicherheit verschrieben
Die Sicherheit hat bei LastPass oberste Priorität, und dazu gehört auch, dass wir schnell auf Berichte über wesentliche Fehler oder Sicherheitslücken reagieren und diese beheben. Einer der Gründe, warum LastPass ein so hohes Maß an Sicherheit erreicht, ist unsere Nutzergemeinde: Wir fordern die Community auf, unsere Technologien auf den Prüfstand zu stellen. Wir wissen die wichtige Arbeit, die Experten im Bereich der Sicherheitsforschung leisten, zu schätzen, und begrüßen es, wenn Probleme auf verantwortungsbewusste Weise gemeldet werden. Wenn der Sicherheitsprozess wie vorgesehen funktioniert, profitieren alle davon – davon sind wir überzeugt.
Anmerkung: Wenn Sie als LastPass-Benutzer den Verdacht haben, dass Ihr Konto gehackt oder kompromittiert wurde oder auf andere Weise gefährdet ist, wenden Sie sich bitte an das LastPass-Supportteam. Wir werden Ihren Fall überprüfen und an die zuständige Stelle weiterleiten.
Melden von Sicherheitsproblemen
Wenn Sie als Sicherheitsforscher denken, eine Sicherheitslücke oder Schwachstelle in LastPass gefunden zu haben, gehen Sie bitte wie folgt vor:
- Lesen Sie die häufig gestellten Fragen zur Sicherheit von LastPass, um sicherzugehen, dass Ihr Sicherheitsbedenken neu ist und von uns noch nicht behandelt wurde.
- Melden Sie uns das Problem über das auf BugCrowd gehostete Bug-Bounty-Programm.
- Bitte fügen Sie nach Möglichkeit auch ein Codebeispiel und einen Screencast hinzu, die den Exploit zeigen.
- Erklären Sie eindeutig, welche Auswirkungen der Fehler bzw. die Schwachstelle auf die Benutzerdaten oder die LastPass-Systeme hat.
- Geben Sie uns genügend Zeit, um Ihre Meldung zu untersuchen und darauf zu reagieren, und sprechen Sie sich mit uns zur Überprüfung und Genehmigung ab, bevor Sie Ihren Fund öffentlich machen.
- Unterlassen Sie es, Benutzerdaten abzurufen, zu modifizieren oder zu stehlen oder die Verfügbarkeit von LastPass zu beeinträchtigen (z. B. durch einen DDoS-Angriff).
Wenn Sie uns ein potentielles Problem melden, geben Sie uns bitte genügend Informationen, damit wir Ihren Fund rekonstruieren können. Dazu gehören ggf. die genauen Schritte, um den Fehler zu reproduzieren, Links, auf die Sie geklickt haben, Ihre besuchten Seiten und URLs sowie etwaige betroffene Konto-E-Mail-Adressen. Bitte fügen Sie auch ein Codebeispiel sowie Bilder oder eine Videoaufzeichnung hinzu, die den von Ihnen entdeckten mutmaßlichen Exploit genau zeigen.
Zur Verschlüsselung sensibler Informationen können Sie diesen öffentlichen Schlüssel verwenden:
Öffentlichen Schlüssel anzeigen
Anmerkung: Sollten Sie automatisierte Tools für die Schwachstellensuche verwenden, bedenken Sie bitte, dass diese Tools oft falsch positive Ergebnisse liefern.
Reaktion auf Meldungen
Nachdem uns ein potentielles Sicherheitsproblem gemeldet wurde, überprüfen wir die Meldung und bestimmen den Schweregrad. Falls wir versuchen, das von Ihnen identifizierte Problem zu beheben (abhängig vom Schweregrad), bitten wir Sie unter Umständen um weitere Informationen. Die nötigen Fehlerkorrekturen werden den Benutzern abhängig vom Schweregrad und den potentiellen Auswirkungen des Problems bereitgestellt. Nachdem das Problem behoben wurde oder aus anderem Grund für abgeschlossen gilt, schließen wir den Fall.
