threatover Patrik Grobshäuser

Sicherheit

Responsible Disclosure

Hast du eine Schwachstelle in threatover.com oder einem von uns betriebenen Dienst gefunden, melde sie uns. So geht's.

Scope

  • threatover.com und Subdomains
  • Öffentliche APIs, die threatover betreibt
  • Kundengerichtete E-Mail-Infrastruktur (noreply@, hello@)

Außerhalb des Umfangs: Drittanbieter, die wir nutzen (Cloudflare, AWS SES usw.) — melde diese direkt beim Anbieter. Kundenseiten, die wir gerade bereinigen, sind ebenfalls außerhalb des Umfangs; melde diese über deinen Auftrags-Kontakt.

Wie melden

Sende einen schriftlichen Bericht an [email protected]. Bitte enthalten:

  • Eine klare Beschreibung des Problems und des betroffenen Endpunkts oder Bauteils
  • Schritte zur Reproduktion, idealerweise mit minimalem Proof-of-Concept
  • Deine Einschätzung der Auswirkung
  • Ob du das Problem bereits anderswo geteilt hast

PGP-Verschlüsselung ist willkommen, aber nicht erforderlich. Wenn du einen Schlüssel brauchst, frag in deiner ersten Nachricht und wir senden dir einen.

Was du erwarten kannst

  • Bestätigung deines Berichts innerhalb von fünf Werktagen
  • Eine ehrliche Einschätzung des Schweregrads und des geplanten Zeitplans zur Behebung
  • Nennung in einer öffentlichen Veröffentlichung, falls gewünscht (wir fragen vor der Namensnennung an)
  • Abstimmung über den Veröffentlichungszeitpunkt — wir streben Fix-vor-Veröffentlichung an

Safe Harbor

Wir gehen nicht rechtlich gegen Forscher vor, die:

  • Sich an die oben genannten Assets im Umfang halten
  • Den Dienst für andere Nutzer nicht beeinträchtigen (kein DoS, keine destruktiven Tests auf gemeinsam genutzten Ressourcen)
  • Daten anderer Personen nicht über das hinaus zugreifen, ändern, exfiltrieren oder behalten, was zur Demonstration des Problems unbedingt nötig ist
  • Das Problem privat melden und uns vor einer Veröffentlichung angemessen Zeit zur Behebung geben
  • Geltendes Recht einhalten

Außerhalb des Umfangs (bitte nicht melden)

  • Fehlende Security-Header ohne nachweisbare Auswirkung
  • SPF-/DMARC-/DKIM-Konfiguration ohne funktionierenden Spoofing-PoC
  • Self-XSS, Clickjacking auf Seiten ohne sensible Aktionen
  • Ausgaben automatischer Scanner ohne Validierung
  • Benutzername-Enumeration auf öffentlichen Endpunkten (wir haben keine Nutzerkonten, die sich aufzählen lassen)

Belohnungen

Wir betreiben derzeit kein bezahltes Bug-Bounty-Programm. Wir bedanken uns öffentlich (mit deinem Einverständnis) und stellen für ernsthafte Funde auf Wunsch ein Empfehlungsschreiben aus.

Maschinenlesbar

Unsere security.txt liegt unter /.well-known/security.txt.

E-Mail [email protected] or use the contact form.