Responsible Disclosure

KonfiApp begrüßt und ermutigt Sicherheitsforschungsberichte zu Schwachstellen in unseren Systemen.
Wir verfolgen keine Personen rechtlich, die Schwachstellen entdecken und uns verantwortungsbewusst und gemäß den folgenden Richtlinien melden.
Alle Berichte werden mit Ernsthaftigkeit und hoher Priorität bearbeitet.

Richtlinien

  • Bitte vermeiden Sie während Ihrer Tests Datenschutzverletzungen, Verschlechterungen und Störungen unserer Produktionssysteme.
    Dies schließt alle Aktivitäten ein, die sich auf die Verfügbarkeit unserer Systeme auswirken, einschließlich der Verwendung von Tools zum Scannen von Sicherheitslücken.
  • Jede Handlung, die geeignet ist, den reibungslosen Betrieb des Portals zu beeinträchtigen, insbesondere die Systeme des Anbieters übermäßig zu belasten (Brute Force) ist untersagt.
  • Nutzen Sie niemals eine entdeckte Sicherheitslücke aus, um Daten anzuzeigen oder Daten ohne Genehmigung zu ändern.
  • Bitte behandeln Sie die offengelegten Informationen zwischen Ihnen und KonfiApp vertraulich, bis wir das Problem behoben haben.
    Wir werden uns bemühen, Probleme in kurzer Zeit zu beheben.

Umfang

Folgendes ist in der Regel nicht im Umfang unseres Responsible Disclosure Programms:

  • Anfrage-Formulare auf der Website konfiapp.de
  • Unsere E-Mail Server oder DNS setup
  • interne Softwaretools wie z.B. CI/CD

Sicherheitslücken einreichen

Bitte melden Sie alle Sicherheitsprobleme an security@konfiapp.de.
Wenn Ihre Übermittlung vertrauliche Informationen zu Sicherheitslücken enthält, verschlüsseln Sie diese bitte mit unserem öffentlichen PGP-Schlüssel (Ende dieser Seite).

Meldungen sollten folgende Informationen enthalten:

  • Ihr Name und Ihre Kontaktinformationen
  • Firmenname (falls zutreffend)
  • Eine detaillierte Beschreibung der potenziellen Sicherheitslücke
  • Genaue Schritte zum Reproduzieren des Problems, einschließlich aller zugehörigen URLs und Parameter, die die Sicherheitslücke demonstrieren.
  • Alle relevanten Details der Systemkonfiguration, z. B. Browsereinstellungen oder - versionen.
  • ggf. ihr betroffener KonfiApp Account

Belohnung

Eine Belohnung kann vergeben werden, nachdem überprüft wurde, ob die Sicherheitslücke reproduzierbar und einzigartig ist und Auswirkungen auf unsere Kunden hat.
Jede Einreichung wird von Fall zu Fall bewertet. Die Entscheidung und Höhe der Belohnung liegt in unserem Ermessen.

Vielen Dank

Wir möchten uns ganz herzlich bei Ihnen für Ihre verantwortungsvolle Offenlegung und die Zusammenarbeit mit uns bedanken, um unsere Sicherheit zu verbessern.
Wir schätzen es sehr, dass Sie sich an uns wenden.

PGP Key

Wenn Sie vertrauliche Informationen zu Sicherheitslücken übermitteln oder privat mit uns über Ihr Anliegen kommunizieren möchten, können Sie Ihre Nachricht mit dem folgenden PGP-Schlüssel verschlüsseln.

PGP Fingerprint - security@konfiapp.de

FE13 F216 664F 8A57 8029  10B6 C3BE 531D 5E3F 3A4A

PGP Public Key - security@konfiapp.de

download key file [security-konfiapp-de.asc]