Security

Overview

This policy outlines the steps for reporting vulnerabilities to HolidayCheck. Please review this policy carefully before you test and/or report a vulnerability.

Rules of Engagement

The discovery and reporting of vulnerabilities can have civil and criminal consequences. The associated risks can be reduced if you follow these rules.

  1. Do not discuss the security vulnerability you have discovered with anyone other than HolidayCheck.

  2. Do not publicly disclose vulnerabilities found on our platform, unless given explicit permission by HolidayCheck.

  3. Once you have reported a vulnerability to HolidayCheck, do not repeatedly interact with the affected system.

  4. Do not leverage vulnerabilities to download, modify or delete any data beyond the minimum necessary actions to provide a proof of concept.

  5. Do not attempt to escalate privileges or explore a system beyond the minimum necessary to provide a proof of concept.

  6. Do not exfiltrate other users' data. Use only your own HolidayCheck account(s) for testing.

  7. Do not attempt to gain access to HolidayCheck systems using brute force or social engineering techniques.

  8. Do not use denial of service attacks.

  9. Do not attempt to install malware, viruses and/or malicious code.

How to report a vulnerability

Please report security issues to us on [email protected] and in the following format.

  • Technical description of the vulnerability (including: Browser type, version and impacted platform URL(s)).

  • Sample code to demonstrate the vulnerability and/or detailed steps to reproduce.

  • Threat/risk assessment.

  • Date and time of discovery.

  • Contact information.

Please note that the channel here is for reporting undisclosed security vulnerabilities only and must not be used for any other support or information requests. Inquiries sent there that do not relate to undisclosed security vulnerabilities will not receive any response.

What can you expect in return?

  • HolidayCheck Security team will confirm and reply to your message within 5 workdays.

  • On a need basis, HolidayCheck will coordinate a disclosure together with the relevant partners and authorities within the legally required time frame.

Bug Bounty Program

HolidayCheck does not operate a bug bounty program at this time. Therefore, there will be no monetary or any other reward for your reported findings.



Überblick

Diese Richtlinie beschreibt die Schritte zur Meldung von Sicherheitslücken an HolidayCheck. Bitte lesen Sie diese Richtlinie sorgfältigt durch, bevor sie Eine Sicherheitslücke testen und/oder melden.

Verhaltensregeln

Die Entdeckung und Meldung von Sicherheitslücken kann zivil- und strafrechtliche Konsequenzen haben. Die damit verbundenen Risiken können reduziert werden, wenn Sie diese Regeln befolgen.


  1. Besprechen Sie die von Ihnen entdeckte Sicherheitslücke mit niemandem ausser HolidayCheck.

  2. Veröffentlichen Sie keine Sicherheitslücken, die auf unserer Plattform gefunden wurden, es sei denn, HolidayCheck hat ausdrücklich die Erlaubnis dazu erteilt.

  3. Sobald Sie eine Sicherheitslücke an HolidayCheck gemeldet haben, interagieren Sie nicht wiederholt mit dem betroffenen System..

  4. Nutzen Sie Sicherheitslücken nicht aus, um Daten herunterzuladen, zu ändern oder zu löschen, die über das für einen Machbarkeitsnachweis erforderliche Minimum hinausgehen.

  5. Nutzen Sie Sicherheitslücken nicht aus, um Daten herunterzuladen, zu ändern oder zu löschen, die über das für einen Machbarkeitsnachweis erforderliche Minimum hinausgehen.

  6. Exfiltrieren Sie keine Daten anderer Nutzer. Verwenden Sie für Tests ausschliesslich Ihr(e) eigene(n) HolidayCheck-Konto/Konten.

  7. Versuchen Sie nicht, sich mit Brute-Force- oder Social-Engineering-Methoden Zugang zu HolidayCheck-Systemen zu verschaffen.

  8. Führen Sie keine Denial-of-Service-Angriffe durch.

  9. Versuchen Sie nicht, Schadsoftware, Viren und/oder bösartigen Code zu installieren.

Wie Sie eine Sicherheitslücke melden

Bitte melden Sie Sicherheitsprobleme an [email protected] im folgenden Format:

  • Technische Beschreibung der Sicherheitslücke (einschliesslich: Browsertyp, Version und betroffene Plattform-URL(s)).

  • Beispielcode zur Demonstration der Sicherheitslücke und/oder detaillierte Schritte zur Reproduktion.

  • Bedrohungs-/Risikobewertung.

  • Datum und Uhrzeit der Entdeckung.

  • Kontaktinformationen.

Bitte beachten Sie, dass dieser Kanal ausschliesslich zur Meldung unveröffentlichter Sicherheitslücken dient und nicht für andere Support- oder Informationsanfragen genutzt werden darf. Anfragen, die nicht im Zusammenhang mit unveröffentlichten Sicherheitslücken stehen, werden nicht beantwortet.

Was können Sie im Gegenzug erwarten?

  • Das HolidayCheck-Sicherheitsteam wird Ihre Nachricht innerhalb von 5 Werktagen bestätigen und beantworten.

  • Bei Bedarf koordiniert HolidayCheck eine Offenlegung gemeinsam mit den relevanten Partnern und Behörden innerhalb der gesetzlich vorgeschriebenen Frist.

Bug-Bounty-Programm

HolidayCheck betreibt derzeit kein Bug-Bounty-Programm. Daher gibt es keine finanzielle oder sonstige Vergütung für gemeldete Erkenntnisse.