threatover Patrik Grobshäuser

Sécurité

Divulgation responsable

Si vous avez trouvé une vulnérabilité sur threatover.com ou un service que nous opérons, nous voulons en être informés. Voici comment la signaler.

Périmètre

  • threatover.com et ses sous-domaines
  • APIs publiques opérées par threatover
  • Infrastructure e-mail destinée aux clients (noreply@, hello@)

Hors périmètre : services tiers que nous utilisons (Cloudflare, AWS SES, etc.) — signalez-les directement au fournisseur. Les sites clients que nous sommes en train de nettoyer sont hors périmètre ; passez par votre contact de mission.

Comment signaler

Envoyez un rapport écrit à [email protected]. Incluez :

  • Une description claire du problème et de l'endpoint ou composant affecté
  • Les étapes de reproduction, idéalement avec un proof-of-concept minimal
  • Ce que vous estimez être l'impact
  • Si vous avez partagé le problème ailleurs

Le chiffrement PGP est bienvenu mais non requis. Si vous avez besoin d'une clé, demandez-la dans votre premier message et nous vous l'enverrons.

Ce à quoi vous attendre

  • Accusé de réception de votre rapport sous cinq jours ouvrés
  • Une évaluation honnête de la sévérité et du calendrier de correction prévu
  • Mention dans toute publication publique si vous le souhaitez (et nous demandons avant de vous citer)
  • Coordination sur le calendrier de divulgation — nous visons la correction avant publication

Safe harbor

Nous n'engagerons pas de poursuites contre les chercheurs qui :

  • Restent sur les actifs dans le périmètre ci-dessus
  • Évitent de dégrader le service pour les autres utilisateurs (pas de DoS, pas de tests destructifs sur des ressources partagées)
  • N'accèdent pas, ne modifient pas, n'exfiltrent pas et ne conservent pas de données appartenant à d'autres personnes au-delà du strict nécessaire pour démontrer le problème
  • Signalent le problème en privé et nous laissent un délai raisonnable pour corriger avant publication
  • Respectent la loi applicable

Hors périmètre (inutile de signaler)

  • En-têtes de sécurité manquants sans impact démontrable
  • Configuration SPF / DMARC / DKIM sans PoC de spoofing fonctionnel
  • Self-XSS, clickjacking sur des pages sans action sensible
  • Résultats de scanners automatiques sans validation
  • Énumération de noms d'utilisateurs sur des endpoints publics (nous n'avons pas de comptes utilisateurs à énumérer)

Récompenses

Nous n'avons pas de bug bounty payant pour le moment. Nous vous remercierons publiquement (avec votre accord) et pouvons fournir une lettre de recommandation pour des découvertes sérieuses si cela vous est utile.

Lisible par machine

Notre security.txt se trouve à /.well-known/security.txt.

E-mail [email protected] or use the contact form.