Responsible Disclosure

Wir freuen uns über jegliche Informationen von Externen, welche uns dabei helfen, die Systeme an der Universität Stuttgart abzusichern. Sofern Sie eine Schwachstelle entdeckt haben, welche Systeme an der Universität betrifft, wenden Sie sich bitte an uns. Unsere Kontaktinformationen finden Sie hier.

Bitte beachten Sie dabei die folgenden Punkte:

• Wir können leider keine finanziellen Belohnungen (Bug Bounty) anbieten.
• Auf Ihre Bitte hin können wir Ihnen einen Dankesschreiben ausstellen, wenn
  • wir die Schwachstelle verifizieren können,
  • dies die erste Meldung zu dieser Schwachstelle ist,
  • die Meldung ein gutes und realistisches Angriffsszenario für die Schwachstelle enthält und
  • wir den Fund als reelles Risiko für Systeme oder Nutzer:innen der Universität bewerten.

Bitte beachten Sie, dass sich Rückmeldungen von unserer Seite nach einer ursprünglichen Bestätigung verspäten können, solange wir mit der Bearbeitung der gefundenen Schwachstelle beschäftigt sind.

Responsible Disclosure (English Version)

We are happy to accept any information from external reporters that help us in securing the systems hosted at the University of Stuttgart. If you have found a vulnerability that affects the university's systems, please reach out to us. You can email us at mail@cert.uni-stuttgart.de. Additional information regarding how to contact us can be found here (in German).

Please take note of the following:

• Unfortunately we cannot offer financial bug bounty rewards.
• At your request we can issue a letter appreciation, provided
  • we are able to verify the vulnerability,
  • you are the first person providing us this finding,
  • you can provide us a good and realistic attack szenario for the vulnerability, and
  • we determine that the finding has practical significance for the security of the systems or users at the university.

Please note that, aside from an initial confirmation, we might be slow to reply while we are processing your findings.