Sicherheit als kontinuierlicher Prozess

Vivy kombiniert die fortgeschrittensten Verschlüsselungstechnologien entsprechend höchster Standards. Bei Vivy ist Sicherheit nie abgeschlossen, sondern ein ständiger Prozess der Verbesserung. Wir lassen Vivy regelmäßig extern testen und verstehen Transparenz als Stärke. Im Sinne dieser Transparenz möchten wir die einzelnen Schritte unserer kontinuierlichen Sicherheitsarbeit hier darlegen: 

Zeitliche Einordnung

Bitte klicken Sie auf den Monat, um Details zu sehen:

  • 01.01.2019 - 31.01.2019

    12.01.
    Der erste wesentliche Security-Befund aus dem Bug-Bounty-Programm (“HackerOne”) ist behoben


    07.01.
    Finales Gespräch mit IT Sicherheitsfirma zum durchgeführten Penetrationstest und finaler Report


    05.01.
    Vivy erhält den ersten wesentliche Security-Befund via HackerOne

  • 01.12.2018 - 31.12.2018

    27.12.
    Präsentation (bereits behobener) Angriffsvektoren durch modzero im Rahmen des 35. Kongress des Chaos Computer Club


    21.12.
    Vivy erhält die Ergebnisse des Re-Penetrationstests von einer unabhängigen IT Sicherheitsfirma und bestätigt, dass alle Befunde gelöst sind. Zwei der Befunde waren aufgrund ihrer längerfristigen Umsetzung zu diesem Zeitpunkt noch in Arbeit. Die IT Sicherheitsfirma bestätigte dazu, dass die Art der Umsetzung auch diese Befunde löst


    13.12.
    Im Rahmen des kontinuierlichen Sicherheitsprozesses veröffentlicht Vivy weitere Verbesserungen der App sowie des Designs für Web. Im Zuge dessen wurde der Angriffsvektor aus Martin Tschirsichs Video vom 22. November 2018 geschlossen, ohne dass Vivy zuvor von modzero in Kenntnis gesetzt wurde


    11.12.
    Erhöhung der Prämie in HackerOne von 1.500 EUR auf 5.000 EUR pro kritischem Security-Befund. Erhöhung der Belohnung für wesentliche Security-Befunde von 1.000 EUR auf 1.500 EUR. Einladung weiterer Top-Level-Hacker zum Bug-Bounty-Programm


    10.12.
    Alle im ursprünglichen Bericht von einer unabhängigen IT Sicherheitsfirma entdeckten Befunde werden durch dieses einem Re-test unterzogen


    03.12.
    Einladung von fünf weiteren Top-Level Hackern in Vivys HackerOne Private Program (“Bug Bounty”). Start einer Auto-Invite-Funktion, die so lange täglich neue Hacker einlädt, bis es validierte Security-Befunde gibt

  • 01.11.2018 - 30.11.2018

    27.11.
    Erhalt der Auswertung des Penetrations-Tests einer unabhängigen IT Sicherheitsfirma inklusive der Bestätigung, dass die von modzero festgestellten Angriffsvektoren durch Vivy behoben sind. Wesentliche und kritische Befunde wurden gefunden, weiterer Austausch dazu.


    22.11.
    Martin Tschirsich filmt einen neuen Weg, einen von modzero festgestellten Angriffsvektor auszunutzen. Vivy wurde über diese Möglichkeit nicht informiert. Diese Aufnahmen wurden später im Rahmen des sogenannten “35C3” am 27. Dezember 2018 in der Präsentation genutzt


    22.11.
    Einladung von sechs weiteren Hackern in Vivys HackerOne Private Program (“Bug Bounty”)


    09.11.
    Einladung von sieben Hackern in Vivys HackerOne Private Program (“Bug Bounty”)

    06.11.
    Erhalt der Auswertung des Penetrations-Tests von ERNW. Keine wesentlichen oder kritischen Befunde

  • 01.10.2018 - 31.10.2018

    30.10.
    Veröffentlichung des Bericht durch modzero: “(...) Die Sicherheitsprobleme wurden beseitigt, also veröffentlichen wir nun unseren Bericht”

    25.10.
    Information von modzero an Vivy, dass die Analyse der Presse übergeben wurde

    08.10.
    Start des geplanten jährlichen Full Scope Penetrations-Test für Vivy iOS und Android durch ERNW (letzter entsprechender Penetrations-Test: Q4/2017)

    05.10.
    Abschließender Bericht zur Auswertung der gefundenen Angriffsvektoren

    04.10.
    Start des geplanten jährlichen Full Scope Penetrations-Test für Vivy Web, Backend und Konzept durch ein führendes, unabhängiges IT-Sicherheitsunternehmen


    04.10.
    Abschluss der Behebung aller im Bericht enthaltenen sicherheitsrelevanten Angriffsvektoren


    03.10. 

    Erhalt des finalen Berichts von modzero

    01.10.
    Launch des Bug-Bounty-Programms von Vivy

     

     

     

  • 01.09.2018 - 30.09.2018

    25.09.
    Erster Fix aller im zweiten Vorbericht angesprochenen Punkte

    24.09.
    Treffen zwischen modzero und Vivy - Übergabe einer zweiten, detaillierteren Vorabversion

    23.09.
    Erster Fix aller im Vorbericht angesprochenen Punkte

    22.09.
    Erhalt eines ersten Vorberichts von modzero und Kontaktaufnahme mit modzero


    17.09.

    Offizieller Launch von Vivy als  TÜV Rheinland- und ePrivacy-zertifizierte App

  • 01.02.2019 - 28.02.2019

    12.01.
    Der erste wesentliche Security-Befund aus dem Bug-Bounty-Programm (“HackerOne”) ist behoben


    07.01.
    Finales Gespräch mit IT Sicherheitsfirma zum durchgeführten Penetrationstest und finaler Report


    05.01.
    Vivy erhält den ersten wesentliche Security-Befund via HackerOne