Security Issues 

German version below

At Hunkemöller, we consider the security of our systems a top priority. But no matter how much effort we put into system security, there can still be vulnerabilities present.
If you discover a vulnerability, we would like to know about it so we can take steps to address it as quickly as possible. We would like to ask you to help us better protect our customers and our systems.


Please do the following:
•    E-mail your findings to privacy@hunkemoller.com with the subject ‘security vulnerability’.  
•    Do not take advantage of the vulnerability or problem you have discovered, for example by downloading more data than necessary to demonstrate the vulnerability or deleting or modifying other people's data,
•    Do not reveal the problem to others until it has been resolved,
•    Do not use attacks on physical security, social engineering, distributed denial of service, spam or applications of third parties, and
•    Do provide sufficient information to reproduce the problem, so we will be able to resolve it as quickly as possible. Usually, the IP address or the URL of the affected system and a description of the vulnerability will be sufficient, but complex vulnerabilities may require further explanation.


What we promise:
•    We will respond to your report within 5 business days with our evaluation and the next steps to resolve the issue.
•    If you have complied with the above-mentioned conditions, we will not take legal action against you about the report.
•    We will handle your report with strict confidentiality, and not pass on your personal details to third parties without your permission.
•    We will keep you informed of the progress towards resolving the problem.
•    In the public information concerning the problem reported, we will give your name as the discoverer of the problem (unless you desire otherwise), and
•    As a token of our gratitude for your assistance, we offer a reward for every report of a serious security problem that was not yet known to us. 

We strive to resolve all problems as quickly as possible, and we would like to play an active role if needed in the ultimate publication on the problem after it is resolved.


Hunkemöller B.V. 2021


 

Für uns bei Hunkemöller hat die Sicherheit unserer Systeme höchste Priorität. Aber egal, wie viel wir in die Systemsicherheit investieren, Schwachstellen kann es immer geben.
Wenn du eine Schwachstelle entdeckst, sag uns bitte Bescheid, damit wir so schnell wie möglich Abhilfe schaffen können. Bitte hilf uns, unsere Kunden und unsere Systeme besser zu schützen.

Tu bitte Folgendes:
•    Schicke deine Erkenntnisse per E-Mail an privacy@hunkemoller.com in englischer Sprache, und zwar mit dem Betreff „security vulnerability“.  
•    Nutze die Schwachstelle oder das Problem, das du entdeckt hast, nicht aus, um die Sicherheitslücke zu demonstrieren, indem du zum Beispiel mehr Daten herunterlädst als nötig oder die Daten anderer Nutzer löschst oder veränderst.
•    Erzähle niemandem von dem Problem, solange es noch nicht gelöst ist.
•    Nutze beziehungsweise unternimm keine Angriffe auf die physische Sicherheit, Social Engineering, Distributed Denial of Service, Spam oder Anwendungen Dritter.
•    Bitte stelle uns ausreichend Informationen zur Verfügung, damit wir das Problem reproduzieren und so schnell wie möglich beheben können. Normalerweise reichen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Sicherheitslücke aus, aber komplexe Sicherheitslücken können weitere Erläuterungen erfordern.

•    Sicherheitslücken außerhalb des Anwendungsbereichs:
o    Fehlende Sicherheits-Header, etwa X-Frame-Optionen, CSP, XSS
o    Probleme mit dem SSL-Zertifikat und andere SSL-Probleme
o    Fingerprinting
o    Fehlende Kontosperrmechanismen, jegliches Passwort-Brute-Forcing
o    Und andere Sicherheitslücken, die HM bereits bekannt sind und als ungefährlich eingestuft werden 

•    Sicherheitslücken innerhalb des Anwendungsbereichs:
o    Injection-Schwachstellen
o    Privilegieneskalation
o    Remote-Code-Ausführung
o    Offene nicht-öffentliche Verzeichnisse
o    Exponierte Kundendaten

•    Schwachstellen im System eines Anbieters, durch die Daten mit Bezug zu HM offengelegt werden:
o    Wenn du feststellst, dass Daten mit HM-Bezug aufgrund einer Sicherheitslücke gefährdet sind oder gefährdet sein könnten, die einen Händler von HM betrifft, kannst du uns dies melden. Wir setzen uns auf jeden Fall mit dem entsprechenden Dienstleister in Verbindung. Bitte beachte jedoch, dass in einem solchen Fall die von HM festgelegten Belohnungen keine Anwendung finden, sofern du noch Anspruch auf eine Belohnung des Dritten haben könntest.


Was wir versprechen:
•    Wir antworten innerhalb von 5 Werktagen auf deine Meldung mit unserer Einschätzung und den nächsten Schritten zur Behebung des Problems.
•    Wenn du die oben genannten Bedingungen eingehalten hast, werden wir bezüglich der Meldung keine rechtlichen Schritte gegen dich einleiten.
•    Wir werden deine Meldung streng vertraulich behandeln und deine personenbezogenen Daten nicht ohne deine Zustimmung an Dritte weitergeben.
•    Wir halten dich über die Fortschritte bei der Behebung des Problems auf dem Laufenden.
•    In den öffentlichen Informationen über das gemeldete Problem werden wir dich als Entdecker des Problems nennen (es sei denn, du möchtest es nicht).
•    Als Zeichen unserer Dankbarkeit für deine Mithilfe belohnen wir jede Meldung eines schwerwiegenden Sicherheitsproblems, das uns noch nicht bekannt war. 
•    Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen und möchten gegebenenfalls eine aktive Rolle bei der abschließenden Veröffentlichung des Problems spielen, nachdem es gelöst wurde.

Hunkemöller B.V. Juni 2021