Jetzt mitmachen und Sicherheitslücken aufspüren.
Adobe weiß: Die globale Sicherheitsforschung spielt eine entscheidende Rolle beim Schutz unserer Kundinnen und Kunden und dem Vertrauen in unsere Marke. Unser Programm „Bug Bounty“ bindet Forscherinnen und Forscher weltweit ein, um Schwachstellen zu identifizieren und zu melden. Hast du eine Sicherheitslücke in einem Adobe-Produkt oder -Service entdeckt? Dann melde sie uns bitte umgehend.
Belohnungen und Auszeichnungen.
Auszahlungsrichtlinien.
Adobe bietet finanzielle Belohnungen für das Aufspüren gültiger Sicherheitslücken, die über unser öffentliches Programm „Bug Bounty“ gemeldet werden. Die Höhe der Belohnung richtet sich nach Schweregrad, Auswirkung und Ausnutzbarkeit der gemeldeten Schwachstelle. Höhere Auszahlungen gibt es für Sicherheitslücken mit besonders schwerwiegender Tragweite.
Mehr über unsere Prämienstruktur und welche Schwachstellen förderfähig sind, erfährst du auf unserer Programmseite.
Hinweis: Die folgende Grafik zeigt die möglichen Prämien für Produkte der Stufen 1 und 2, aufgeschlüsselt nach Schweregrad.
Hall of Fame für Sicherheitsforscherinnen und -forscher.
Neben finanziellen Prämien würdigen wir herausragende Beiträge auch in unserer Hall of Fame für Sicherheitsforscherinnen und -forscher. Dort ehren wir alle, die mit ihrem Engagement maßgeblich zur Verbesserung der Sicherheit der Produkte und Services von Adobe beigetragen haben.
Programmumfang.
Wir freuen uns über Meldungen zu Sicherheitslücken, die die Sicherheit oder den Schutz der Daten von Adobe-Kundinnen und -Kunden betreffen könnten. Um für eine Prämie infrage zu kommen, müssen Schwachstellen zum Beispiel in einem oder mehreren der folgenden Produkte und Services von Adobe gemeldet werden melden:
Eine Schwachstelle melden.
Alle Berichte werden von HackerOne und den Produktsicherheits-Teams von Adobe geprüft und validiert. Um unsere Untersuchung und Auszahlungen zu beschleunigen, halte dich bitte an diese Richtlinien:
- Beschreibe bei der Meldung einer Schwachstelle klare, reproduzierbare Schritte und gib dabei die folgenden Details an:
- Schritt-für-Schritt-Anleitung: Beschreibe jeden Schritt, der zur Reproduktion des Problems nötig ist, vom Log-in (falls zutreffend) bis zum Auslösen der Schwachstelle.
- Spezifische URLs & Endpunkte: Gib genau an, wo das Problem auftritt, einschließlich API-Endpunkten.
- Erwartetes vs. tatsächliches Verhalten: Beschreibe klar, was passieren sollte und was aufgrund der Schwachstelle stattdessen passiert.
- Screenshots und Videos (wenn möglich): Visuelle Belege helfen dabei, die Schritte und Auswirkungen nachzuvollziehen.
- Payloads und Code-Snippets: Bei Eingabeinjektionen (zum Beispiel XSS, SQLi) gib bitte den exakten Payload an, den du verwendet hast.
- Browser-/Umgebungsdetails: Gib das Betriebssystem, die Browser-Version oder die Tools an, die zur Reproduktion des Problems verwendet wurden.
- Erforderliche Vorbedingungen: Notiere alle notwendigen Kontoberechtigungen, Konfigurationen und Einstellungen, die zum Auslösen der Schwachstelle erforderlich sind.
- Füge einen Proof-of-Concept (PoC) bei – idealerweise als Video – und ergänze ihn um einen eigenen Abschnitt zu den Auswirkungen. So lässt sich die Meldung deutlich schneller prüfen und validieren.
- Fasse alle betroffenen Hosts in einer einzigen Meldung zusammen, wenn die gleiche Schwachstelle mehrere Hosts innerhalb desselben Assets oder derselben Domain betrifft. Prämien werden pro individueller Schwachstelle vergeben, nicht pro betroffenem Host. Bei Einreichung von Duplikaten wird nur die erste gültige Meldung berücksichtigt, während spätere Meldungen als Duplikate gekennzeichnet werden.
- Verwende PGP-Verschlüsselung für sensible Meldungen. Den PGP-Schlüssel findest du hier.
- Bitte lies dir unsere Nutzungsbedingungen auf der Programmseite durch.
Eine vollständige Liste der Anforderungen für Meldungen findest du in den Teilnahmeregeln auf der Programmseite.
Hall of Fame für Sicherheitsforscherinnen und -forscher.
Sammle Punkte für die Hall of Fame, um deine Ranglistenposition zu verbessern und besondere Anerkennung für deine Beiträge zu erhalten.
Was ist die Hall of Fame für Sicherheitsforscherinnen und -forscher?
Die Hall of Fame für Sicherheitsforscherinnen und -forscher ist eine Initiative, mit der wir die engagiertesten Expertinnen und Experten auszeichnen – Menschen, die mit außergewöhnlichem Einsatz dazu beigetragen haben, den Schutz unserer Produkte, Services und Kundinnen und Kunden spürbar zu verbessern.
Wir laden alle Sicherheitsforscherinnen und -forscher – vom Hobby-Anwender bis zur hauptberuflichen ethischen Hackerin – ein, an der Hall of Fame teilzunehmen, indem sie im Rahmen des Adobe-Programms „Bug Bounty“ eine Schwachstelle melden.
Wie verdiene ich Punkte?
Forscherpunkte werden für jede gültige Meldung zum Programm „Bug Bounty“ vergeben. Die Forscherpunkte werden für eine Endwertung am Ende jeder Testperiode zusammengerechnet. Um allen die gleiche Chance zu geben, werden die Forscherpunkte zu Beginn jeder Testperiode zurückgesetzt.
Wie funktioniert der Bewertungsprozess?
Für jede gültige Meldung an das Adobe-Programm „Bug Bounty“ gibt es Hall-of-Fame-Punkte basierend auf der unten stehenden Tabelle. Es gelten die Standardrichtlinien und Ausschlüsse von Adobe.
Nach jeder Testphase werden die Gesamtpunkte aller teilnehmenden Forscherinnen und Forscher ermittelt und die Top 10 bekannt gegeben. Neben der Ehrung in unserer Hall of Fame dürfen sich alle Forscherinnen und Forscher in den Top 10 eine der folgenden Belohnungen aussuchen (Änderungen vorbehalten, neue spannende Optionen folgen in Kürze):
