Vulnerability Disclosure Policy

Socialinsider – ein Produkt von Code Path SRL

Socialinsider setzt sich dafür ein, die Sicherheit der Nutzer durch den Schutz ihrer Daten zu gewährleisten. Diese Richtlinie gibt Sicherheitsexperten klare Vorgaben zur Durchführung von Schwachstellenanalysen und erklärt, wie Schwachstellen gemeldet werden können.

Diese Richtlinie beschreibt, welche Systeme und Arten von Recherchen darunterfallen, wie du uns Schwachstellenmeldungen senden kannst und wie lange wir dich bitten, mit einer öffentlichen Bekanntgabe von Schwachstellen zu warten. Melde dich gern bei uns, um potenzielle Schwachstellen in unseren Systemen zu melden.

Wenn du dich während deiner Sicherheitsforschung bemüht hast, diese Richtlinie einzuhalten, betrachten wir deine Recherche als genehmigt. Wir arbeiten mit dir zusammen, um das Problem schnell zu verstehen und zu lösen. Socialinsider wird keine rechtlichen Schritte in Bezug auf deine Recherche einleiten oder empfehlen. Sollte ein Dritter rechtliche Schritte gegen dich wegen Aktivitäten einleiten, die im Einklang mit dieser Richtlinie standen, werden wir diese Genehmigung offenlegen.

Richtlinien

In diesen Richtlinien bedeutet „Forschung“ alle Aktivitäten, bei denen du als Security Researcher:

  • Informiere uns so schnell wie möglich, nachdem du ein Sicherheitsproblem entdeckt hast.
  • Setze alles daran, Datenschutzverletzungen, eine Verschlechterung der Nutzererfahrung, Störungen der Produktionssysteme sowie Zerstörung oder Manipulation von Daten zu vermeiden.
  • Nutze Exploits nur so weit, wie es zum Nachweis einer Schwachstelle nötig ist. Verwende einen Exploit nicht, um Daten zu kompromittieren oder zu exfiltrieren, dauerhaften Zugriff per Kommandozeile zu erhalten oder auf andere Systeme zuzugreifen.
  • Gib uns ausreichend Zeit, das Problem zu beheben, bevor du es öffentlich machst.
  • Reiche keine große Menge an Berichten mit geringer Qualität ein.

Damit wir die Berichte besser verstehen, empfehlen wir, dass deine Einreichung Folgendes enthält:

  • Beschreibe, wo die Schwachstelle gefunden wurde und welche Auswirkungen eine Ausnutzung haben könnte.
  • Erkläre die einzelnen Schritte zur Reproduktion der Schwachstelle – Screenshots oder Videoaufnahmen sind hilfreich.
  • Verfasse die Einreichung auf Englisch.

Sobald du feststellst, dass eine Schwachstelle existiert oder sensible Daten findest (einschließlich personenbezogener Informationen, finanzieller Informationen oder geschützter Daten oder Geschäftsgeheimnisse anderer), musst du deinen Test sofort beenden, uns umgehend benachrichtigen und diese Daten niemandem weitergeben.

Verbotene Praktiken

Die folgenden Testmethoden sind nicht erlaubt:

  • Denial of Service (DoS oder DDoS) Tests oder andere Tests, die den Zugriff auf Systeme beeinträchtigen
  • Nicht-technisches Schwachstellentesten

Diese Richtlinie gilt für die folgenden Systeme und Dienste:

  • https://www.socialinsider.io
  • https://app.socialinsider.io

Alle hier nicht ausdrücklich genannten Services, einschließlich aller verbundenen Services, sind vom Geltungsbereich ausgeschlossen und dürfen nicht getestet werden.
Schwachstellen in Systemen unserer Anbieter fallen ebenfalls nicht unter diese Richtlinie. Melde solche Schwachstellen bitte direkt beim jeweiligen Anbieter gemäß dessen Offenlegungsrichtlinie (sofern vorhanden).
Bist du unsicher, ob ein System im Geltungsbereich liegt, kontaktiere uns vor Beginn deiner Recherche unter security@socialinsider.io.

Gibt es ein System außerhalb des Geltungsbereichs, das deiner Meinung nach getestet werden sollte, kontaktiere uns bitte zuerst, um es zu besprechen. Der Geltungsbereich dieser Richtlinie kann im Laufe der Zeit erweitert werden.

Schwachstelle melden

Die nach dieser Richtlinie übermittelten Informationen werden ausschließlich zum Schutz verwendet – um Schwachstellen zu mindern oder zu beheben.

Entdeckst du neue Schwachstellen, die alle Nutzer eines Produkts oder Dienstes betreffen und nicht nur Socialinsider, können wir deinen Bericht an Dritte weitergeben. Dort wird er im Rahmen ihres koordinierten Prozesses zur Offenlegung von Schwachstellen bearbeitet.

Deine Kontaktdaten geben wir nur mit deiner ausdrücklichen Erlaubnis weiter.
Schwachstellen kannst du an security@socialinsider.io melden. Berichte können anonym eingereicht werden.

Wenn du deine Kontaktdaten mit uns teilst, verpflichten wir uns zu einer offenen und schnellen Zusammenarbeit.

  • Innerhalb von 7 Werktagen bestätigen wir den Eingang deiner Meldung.
  • Wir bestätigen dir den Fund der Schwachstelle und informieren dich transparent über unsere Schritte zur Behebung.
  • Wir halten dich während des gesamten Prozesses auf dem Laufenden.