Richtlinie zur Offenlegung von Sicherheitslücken (VDP)

Wir schätzen Sicherheitsforschung und begrüßen Meldungen in gutem Glauben. Wir akzeptieren derzeit keine externen Penetrationstests zu diesem Zeitpunkt.

Geltungsbereich

• skyalo.com, *.skyalo.com

• Skyalo Mobile-Apps (neueste öffentliche Versionen)

Nicht im Geltungsbereich: Dienste von Drittanbietern, DoS/Traffic-Flooding, Brute-Force, Social Engineering, physische Angriffe, Spam-/DMARC-Meldungen, Versionsoffenlegung ohne Auswirkungen, Clickjacking ohne nachgewiesene Auswirkungen, fehlende Security-Header ohne Exploit.

Regeln für die Zusammenarbeit

• Handeln Sie in gutem Glauben und vermeiden Sie Datenschutzverletzungen oder eine Beeinträchtigung des Dienstes.

• Verwenden Sie ausschließlich Ihre eigenen Konten/Daten.

• Greifen Sie nicht auf Daten zu, die nicht Ihnen gehören, und ändern Sie diese nicht. Wenn Sie unbeabsichtigt auf nicht öffentliche Daten zugreifen, stoppen Sie sofort und informieren Sie uns.

• Keine automatisierten Scans, die Verfügbarkeit oder Stabilität beeinträchtigen.

So melden Sie eine Sicherheitslücke

E-Mail an [email protected] mit:

• Betroffener Host/Endpoint und Umgebung

• Klare Schritte zur Reproduktion

• Minimales PoC (HTTP-Request/Response, Screenshots)

• Impact-Bewertung und geschätzte Schwere (CVSS v3.1 bevorzugt)

• Testzeitfenster und Quell-IPs

Bitte keine Geheimnisse angeben (Zugangsdaten, Tokens, rohe Datenbank-Dumps) per E-Mail; schwärzen oder maskieren Sie sensible Daten. Wenn Sie Verschlüsselung benötigen, kontaktieren Sie uns, und wir richten einen sicheren Weg ein.

Safe Harbor

Wenn Sie diese Richtlinie befolgen, werden wir keine rechtlichen Schritte einleiten und betrachten Ihre Recherche als autorisiert – ausschließlich zum Zweck der Meldung des Problems.

Belohnungen & Anerkennung

Derzeit bieten wir keine monetären Belohnungen an. Für bestätigte, nicht doppelte Fälle bieten wir öffentliche Anerkennung (Hall of Fame) und auf Wunsch ein Dankschreiben. Doppelte Meldungen können ohne zusätzliche Anerkennung geschlossen werden; die Nennung erhält die erste gültige Meldung, die bei uns eingeht.

Zeitpläne & SLAs

• Bestätigung: innerhalb von 3 Werktagen

• Triage-Statusupdate: nach Prüfung

• Koordinierte Offenlegung: Bitte veröffentlichen Sie keine Details, bis ein Fix verfügbar ist (bis zu 90 Tage)

Ziel für die Behebung: Kritisch: 7 Tage; Hoch: 30 Tage; Mittel: 90 Tage; Niedrig: Backlog/nach Zeitplan.