erkundo
Sicherheit

Sicherheitsanfälligkeiten melden

Danke, dass du uns hilfst, Erkundo sicher zu machen.

Wenn du eine Sicherheitslücke in Erkundo findest, freuen wir uns über eine verantwortungsvolle Meldung. Auf dieser Seite findest du, was wir uns wünschen und was du von uns erwarten kannst.

Überblick

Die Sicherheit unserer Nutzerinnen und Nutzer hat für uns hohe Priorität. Wir nehmen Hinweise auf mögliche Schwachstellen ernst und gehen jeder Meldung nach. Diese Seite beschreibt unseren Prozess zur verantwortungsvollen Offenlegung von Sicherheitsanfälligkeiten (Responsible Disclosure).

Geltungsbereich

Diese Richtlinie gilt für folgende Systeme:

  • erkundo.com und alle Subdomains
  • Die zugehörigen APIs, soweit sie öffentlich erreichbar sind

Nicht abgedeckt sind Dienste Dritter, die wir lediglich einbinden (z.B. Karten, Analytics, Hosting-Anbieter). Melde Schwachstellen in solchen Diensten bitte direkt beim jeweiligen Anbieter.

So meldest du eine Schwachstelle

Schreib uns eine E-Mail an contact@mlk-digital.com mit dem Betreff "Security: kurze Beschreibung".

Hilfreich für uns sind folgende Angaben:

  • Eine möglichst genaue Beschreibung der Schwachstelle
  • Schritte zum Nachvollziehen (Proof of Concept, Screenshots, Logs)
  • Betroffene URLs, Parameter oder Endpunkte
  • Mögliche Auswirkungen, soweit du sie einschätzen kannst
  • Dein bevorzugter Kontaktweg für Rückfragen

Ablauf & Reaktionszeiten

Du kannst von uns Folgendes erwarten:

  • Eingangsbestätigung innerhalb von 3 Werktagen
  • Erste inhaltliche Rückmeldung innerhalb von 10 Werktagen
  • Regelmässige Updates zum Bearbeitungsstand
  • Information, sobald die Schwachstelle behoben wurde

Wir bitten dich, Details zur Schwachstelle für mindestens 90 Tage oder bis zur Behebung vertraulich zu behandeln, bevor du sie veröffentlichst.

Spielregeln

Damit Forschung im Sinne dieser Richtlinie gilt, halte dich bitte an folgende Punkte:

  • Greife nur auf eigene Konten oder ausdrücklich dafür angelegte Testkonten zu
  • Verwende keine Daten echter Nutzerinnen und Nutzer
  • Verändere, lösche oder exfiltriere keine Daten
  • Beeinträchtige nicht die Verfügbarkeit der Plattform
  • Halte die Schwachstelle bis zur Behebung vertraulich
  • Beachte geltendes Recht

Solange du dich an diese Regeln hältst, werden wir keine rechtlichen Schritte gegen dich einleiten.

Nicht erlaubt

Folgende Aktivitäten sind nicht im Rahmen dieser Richtlinie zulässig:

  • Denial-of-Service-Angriffe oder Lasttests gegen unsere Systeme
  • Social Engineering oder Phishing gegen Mitarbeitende und Nutzer
  • Physische Angriffe auf Infrastruktur
  • Automatisiertes Scannen, das spürbar Last erzeugt
  • Spam-Tests (Mailflut, Massenanmeldungen)

Schwachstelle entdeckt?

Melde sie vertraulich an unser Team. Danke für deine Hilfe.

contact@mlk-digital.com