Bug Bounty Programm der Stadt Wien

Die Stadt Wien betreibt ein öffentliches Bug Bounty Programm, um die Sicherheit der digitalen Dienste kontinuierlich zu verbessern. Mit Ihrer Unterstützung, durch verantwortungsvolles Finden und Melden von Sicherheitslücken, macht die Stadt ihre Online-Angebote sicherer.

Sie finden das Bug Bounty Programm auf der Plattform Bugcrowd .

Was ist das Bug Bounty Programm?

Ein Bug Bounty Programm bietet eine geregelte Möglichkeit, Sicherheitslücken in städtischen Webseiten und Diensten verantwortungsvoll zu suchen und zu melden. Sicherheitsforscher*innen, Entwickler*innen und interessierte Bürger*innen können so gefundene Schwachstellen an uns übermittelten und dafür Anerkennung bzw. Belohnungen erhalten. 

Wer kann mitmachen?

Jede*r Interessierte kann teilnehmen – von Hobby-Sicherheitsforscher*innen bis zu professionellen Pentestern. Bitte beachten Sie die Regeln zum verantwortungsvollen Vorgehen.

Mitarbeiter*innen und Dienstleister*innen der Stadt Wien sind von dem Programm ausgeschlossen. 

Was ist im scope / out of scope?

Genauere Auflistungen von in- und out-of-scope Diensten finden Sie auf der Programmseite. 

Wie melden Sie eine Sicherheitslücke?

Melden Sie gefundene Schwachstellen ausschließlich über das offizielle Meldeformular auf der Programmseite. Bitte fassen Sie Befunde so zusammen, dass sie reproduzierbar sind (Schritte, erwartetes/aktuelles Verhalten, Screenshots oder Proof-of-Concept-Code). 

Informationen und Meldeformular

Regeln für verantwortungsvolles Disclosure

Führen Sie Tests so durch, dass Dienste nicht gestört werden.

Greifen Sie nicht gezielt auf personenbezogene Daten zu oder veröffentlichen diese nicht.

Setzen Sie keine Social-Engineering-Methoden gegen Mitarbeiter*innen oder Bürger*innen ein.

Exploit-Code darf nur soweit genutzt werden, wie nötig, um die Lücke zu reproduzieren – nicht, um Schaden zu verursachen.

Befolgen Sie die detaillierten Richtlinien auf der Programmseite. 

Belohnungen und Anerkennung

Belohnungen (Monetär oder sonstige Anerkennung) richten sich nach Schweregrad, Ausnutzbarkeit und möglicher Wirkung der Schwachstelle. Bereits bekannte oder  nicht reproduzierbare Befunde werden nicht vergütet. 

Datenschutz und rechtliche Hinweise

Ihre Meldung wird vertraulich behandelt. Soweit nötig, arbeiten wir mit Ihnen zur Behebung zusammen. Das Programm schützt Sie, sofern Sie sich an die Regeln halten; rechtswidrige Aktivitäten sind ausgeschlossen.