Security

Bug-Bounty-Programm

Finden Sie Bugs, werden Sie belohnt.

Helfen Sie uns, unsere Sicherheit zu verbessern und verdienen Sie Belohnungen. Wir laden Sicherheitsforscher ein, unsere Systeme verantwortungsvoll zu testen. Wenn Sie eine Schwachstelle finden, bezahlen wir Sie fuer die Meldung.

Eine Schwachstelle melden
Regeln

Grundregeln

  • 1Testen Sie vorsichtig: Stoeren Sie unsere Dienste nicht und verwenden Sie keine automatisierten Scan-Tools.
  • 2Verwenden Sie nur Ihr eigenes Testkonto. Versuchen Sie niemals, auf Konten anderer Benutzer zuzugreifen.
  • 3Benachrichtigen Sie uns sofort, wenn Sie Zugang zu internen Systemen erhalten.
  • 4Halten Sie alle Entdeckungen vertraulich, bis wir das Problem behoben haben.
  • 5Nur die erste Person, die eine bestimmte Schwachstelle meldet, erhaelt die Belohnung.
Umfang

Was wir suchen

Wir belohnen Entdeckungen, die echte Sicherheitsrisiken darstellen. Hoehere Belohnungen gibt es fuer kritischere Probleme:

Unbefugter Zugriff auf Daten anderer Benutzer (die blosse Bestaetigung der Existenz eines Kontos qualifiziert sich nicht).
Umgehung von API-Sicherheitskontrollen (z.B. Umgehung von Rate-Limits, Authentifizierungsumgehung).
Cross-Site-Scripting (XSS) Schwachstellen.
Remote-Code-Ausfuehrung auf unseren Servern.
SQL-Injection oder andere Injektionsangriffe.
Authentifizierungs- oder Sitzungsverwaltungsfehler.

Wir belohnen nur Sicherheitsschwachstellen, die Benutzern oder ihren Daten schaden koennten, keine kosmetischen Bugs oder defekte Funktionen.

Ausschluesse

Wofuer wir nicht bezahlen

Denial-of-Service (DoS/DDoS) Angriffe oder Brute-Force-Versuche.
Probleme mit gemischtem Inhalt oder SSL-Konfiguration.
Social-Engineering- oder Phishing-Angriffe.
Theoretische Schwachstellen ohne funktionierenden Proof of Concept.
Fehlende Sicherheitsheader oder Standard-Haertungseinstellungen (z.B. Passwortrichtlinie, E-Mail-Verifizierung).
Schwachstellen in Drittanbieterdiensten oder Abhaengigkeiten ausserhalb unserer Kontrolle.
Belohnungen

Wie wir bezahlen

Je kritischer die Schwachstelle, desto hoeher die Belohnung. Es gibt keine feste Obergrenze. Wenn Sie etwas besonders Ernstes oder Cleveres finden, werden wir Sie entsprechend entschaedigen. Die Belohnungsbetraege werden basierend auf dem potenziellen Auswirkungen der Schwachstelle bestimmt.

Zahlungen werden in USD ueber PayPal verarbeitet, nachdem die Schwachstelle verifiziert und behoben wurde. Standard-PayPal-Gebuehren gelten.

Meldung

Wie melden

01

Einreichen

Fuellen Sie das Schwachstellen-Meldeformular unten mit einer detaillierten Beschreibung und einem Proof of Concept aus.

02

Pruefung

Unser Sicherheitsteam wird Ihren Bericht pruefen und innerhalb von 7 Werktagen antworten.

03

Loesung

Wir arbeiten an einem Fix. Wir kontaktieren Sie moeglicherweise fuer zusaetzliche Details oder Klaerungen.

04

Belohnung

Sobald die Schwachstelle verifiziert und behoben ist, verarbeiten wir Ihre Belohnung in USD ueber PayPal.

Meldung

Eine Schwachstelle melden

Fuellen Sie das Formular unten mit so vielen Details wie moeglich aus. Geben Sie Schritte zur Reproduktion, Auswirkungsbewertung und jeden Proof of Concept an.