Meldung von Schwachstellen
Security Researcher können Schwachstellen verantwortungsvoll melden. Bitte lesen Sie zuerst die Safe-Harbor-Regeln und den zulässigen Test-Scope.
Safe-Harbor-Policy
Specteron unterstützt Good-Faith Security Research. Wenn Sie diese Regeln einhalten und Kunden nicht gefährden, behandeln wir Ihre Aktivität als autorisierte Forschung.
Responsible Disclosure soll kein unnötiges rechtliches Risiko für Personen erzeugen, die sorgfältig vorgehen und Probleme schnell melden.
Regeln für Tests
Forschung muss innerhalb klarer Sicherheitsgrenzen bleiben, um Kunden und die Stabilität der Plattform zu schützen.
- Keine Datenexfiltration: Laden Sie keine Kundendaten herunter. Falls es versehentlich zu einer Einsicht kommt, stoppen Sie sofort und melden Sie das Problem.
- Keine Service-Störung: Führen Sie keine Denial-of-Service-Tests, aggressiven Fuzzing-Kampagnen oder physischen Angriffe durch.
- Autorisierter Test-Scope: Testen Sie nur Accounts, die Ihnen gehören oder für die Sie eine ausdrückliche Erlaubnis haben. Drittanbieter-Tenants sind tabu.
So melden Sie ein Problem
Senden Sie eine prägnante Zusammenfassung, Reproduktionsschritte und gegebenenfalls ein Proof of Concept für die Triage.
Sensible Meldungen sollten mit dem in `/.well-known/security.txt` genannten Schlüssel verschlüsselt werden.
Zielzeiten für Antworten
Specteron arbeitet mit klaren Erwartungen für Acknowledgement, Triage und Remediation bei legitimen Meldungen.
- Acknowledgement: Innerhalb von 48 Geschäftsstunden.
- Triage: Innerhalb von 5 Geschäftstagen mit erster Einschätzung zu Gültigkeit und Severity.
- Resolution: Abhängig von Schweregrad und Komplexität; kritische Fälle werden sofort eskaliert.