Bug-Bounty-Programm · marcapo

Bug Bounty Program · marcapo

Sicherheitslücken verantwortungsvoll melden – Prämien erhalten

Report vulnerabilities responsibly – earn rewards

Responsible Disclosure

Sicherheitslücken identifizieren – Prämien erhalten

Die marcapo GmbH betreibt ein offenes Bug-Bounty-Programm mit dem Ziel, die Sicherheit ihrer digitalen Systeme kontinuierlich zu verbessern. Wer bislang unbekannte Schwachstellen in bestimmten Domains und Subdomains entdeckt und meldet, kann – je nach Relevanz der Schwachstelle – eine finanzielle Anerkennung erhalten.

Geltungsbereich

Relevante Domains:

msteps.de

www.msteps.de

m-steps.de

www.m-steps.de

Andere Domains, Systeme oder Drittanbieter-Services sind nicht Teil des Programms und dürfen nicht getestet werden.

Teilnahmeberechtigt sind volljährige, externe Personen. Minderjährige benötigen eine schriftliche Einwilligung der Erziehungsberechtigten.

Responsible Disclosure

  • Vor Veröffentlichung: mindestens 6 Wochen zur Analyse und Behebung einräumen.
  • Keine Datenveränderung, Downloads, Löschungen oder Störungen der Verfügbarkeit.
  • Bei Verstößen kann eine Meldung an Behörden erforderlich sein.

Reaktionszeiten

  • Erste Rückmeldung: innerhalb von 5 Werktagen
  • Erste Bewertung: innerhalb von 10 Werktagen
  • Status-Updates: bei längerer Bearbeitung regelmäßig

Bedingungen für Prämien

  • Schwachstelle ist nicht öffentlich dokumentiert.
  • Tritt in einer produktiven Umgebung auf.
  • Technischer Bericht inkl. PoC liegt vor.
  • Keine unautorisierte Zugriffe auf fremde Accounts.

Prämienrelevant

  • Remote Code Execution (RCE)
  • SQL Injection
  • Insecure Direct Object References (IDOR)
  • Directory Traversal
  • Server-Side Request Forgery (SSRF)
  • Remote File Inclusion (RFI/LFI)
  • Cross-Site Scripting (XSS)

Vom Programm ausgeschlossen

  • CSRF
  • DoS/DDoS
  • Rate-Limit-Schwächen
  • Social Engineering
  • Spam/Phishing-Reports
  • Clickjacking ohne Sicherheitsauswirkung
  • Fehler durch alte Browser/Plugins
  • Automatisierte Tools ohne gezielte Ausnutzung

Rechtliches

Die Teilnahme am Bug-Bounty-Programm begründet keinen Anspruch auf Beschäftigung oder Beauftragung. Entscheidungen über Anerkennung, Höhe und Auszahlung von Prämien sowie Haftung bei Tests außerhalb des definierten Scopes liegen allein im Ermessen der marcapo GmbH.

© marcapo GmbH

Identify Vulnerabilities – Earn Rewards

marcapo GmbH runs an open bug bounty program to continuously improve the security of its digital systems. If you discover and report previously unknown vulnerabilities in specified domains and subdomains, you may receive a monetary reward depending on the severity and impact.

Scope

Eligible domains:

msteps.de

www.msteps.de

m-steps.de

www.m-steps.de

Other domains, systems, or third‑party services are out of scope and may not be tested.

Participants must be external individuals of legal age. Minors require written consent from their legal guardians.

Responsible Disclosure

  • Before public disclosure: allow at least 6 weeks for analysis and remediation.
  • No data modification, downloads, deletions, or availability disruptions.
  • Violations may be reported to authorities if necessary.

Response Times

  • Initial Feedback: within 5 business days
  • Initial Rating: within 10 business days
  • Status Updates: provided regularly for longer investigations

Reward Eligibility

  • Vulnerability is not publicly documented.
  • Occurs in a production environment.
  • A technical report incl. PoC is provided.
  • No unauthorized access to third‑party accounts.

In Scope for Rewards

  • Remote Code Execution (RCE)
  • SQL Injection
  • Insecure Direct Object References (IDOR)
  • Directory Traversal
  • Server‑Side Request Forgery (SSRF)
  • Remote File Inclusion (RFI/LFI)
  • Cross‑Site Scripting (XSS)

Out of Scope

  • CSRF
  • DoS/DDoS
  • Rate‑limit weaknesses
  • Social engineering
  • Spam/phishing reports
  • Clickjacking without security impact
  • Issues caused by outdated browsers/plugins
  • Automated tools without targeted exploitation

Legal

Participation in the bug bounty program does not constitute an employment or contracting relationship. Recognition, amount, and payment of rewards, as well as liability for tests outside the defined scope, are at the sole discretion of marcapo GmbH.