Sicherheit

Bug-Bounty-Programm. Finden Sie Schwachstellen, erhalten Sie Belohnungen.

Helfen Sie uns, unsere Sicherheit zu verbessern und verdienen Sie Belohnungen. Wir laden Sicherheitsforscher ein, unsere Systeme verantwortungsvoll zu testen. Wenn Sie eine Schwachstelle finden, bezahlen wir Sie dafür.

Schwachstelle melden

Regeln

Grundregeln

  • Testen Sie vorsichtig: Stören Sie unsere Dienste nicht und verwenden Sie keine automatisierten Scan-Tools.
  • Verwenden Sie nur Ihr eigenes Testkonto. Versuchen Sie niemals, auf Konten anderer Benutzer zuzugreifen.
  • Benachrichtigen Sie uns sofort, wenn Sie Zugang zu unseren internen Systemen erhalten.
  • Halten Sie Ihre Entdeckungen vertraulich, bis wir das Problem gelöst haben.
  • Nur die erste Person, die eine bestimmte Schwachstelle meldet, erhält die Belohnung.

Umfang

Wonach wir suchen

Wir belohnen Entdeckungen, die echte Sicherheitsrisiken darstellen. Belohnungen sind höher für kritische Probleme:

  • Unbefugter Zugriff auf Daten anderer Benutzer (die bloße Bestätigung der Existenz eines Kontos zählt nicht).
  • Umgehung von API-Sicherheitskontrollen (z.B. Rate-Limit-Umgehung, Authentifizierungs-Bypass).
  • Cross-Site-Scripting (XSS) Schwachstellen.
  • Remote-Code-Ausführung auf unseren Servern.
  • SQL-Injection oder andere Injection-Angriffe.
  • Authentifizierungs- oder Session-Management-Fehler.

Wir belohnen nur Sicherheitslücken, die Benutzern oder ihren Daten schaden können, keine kosmetischen Fehler oder defekte Funktionen.

Ausschlüsse

Wofür wir nicht bezahlen

  • Denial-of-Service-Angriffe (DoS/DDoS) oder Brute-Force-Versuche.
  • Mixed-Content-Probleme oder SSL-Konfigurationsprobleme.
  • Social Engineering oder Phishing-Angriffe.
  • Theoretische Schwachstellen ohne funktionierenden Proof of Concept.
  • Fehlende Sicherheits-Header oder Standard-Härtungseinstellungen (z.B. Passwortrichtlinie, E-Mail-Verifizierung).
  • Schwachstellen in Drittanbieterdiensten oder Abhängigkeiten außerhalb unserer Kontrolle.

Belohnungen

Wie wir bezahlen

Je kritischer die Schwachstelle, desto höher die Belohnung. Es gibt keine feste Obergrenze. Wenn Sie etwas besonders Schwerwiegendes oder Cleveres finden, belohnen wir Sie entsprechend. Die Beträge werden basierend auf dem potenziellen Impact der Schwachstelle bestimmt.

Zahlungen erfolgen in USD über PayPal nach Verifizierung und Behebung der Schwachstelle. Standard-PayPal-Gebühren fallen an.

Melden

So melden Sie

01

Einreichen

Füllen Sie das Meldeformular unten mit einer detaillierten Beschreibung und einem Proof of Concept aus.

02

Überprüfung

Unser Sicherheitsteam wird Ihren Bericht überprüfen und innerhalb von 7 Werktagen antworten.

03

Behebung

Wir arbeiten an einer Lösung. Wir werden Sie möglicherweise für weitere Details kontaktieren.

04

Belohnung

Sobald die Schwachstelle verifiziert und behoben ist, verarbeiten wir Ihre Belohnung in USD über PayPal.

Schwachstelle melden

Füllen Sie das Formular unten mit so vielen Details wie möglich aus. Fügen Sie Reproduktionsschritte, Impact-Bewertung und einen Proof of Concept bei.