Yoummday Trust Center

Melden einer Schwachstelle

Senden Sie Ihre Meldung per E-Mail an [email protected] unter Verwendung des untenstehenden Meldeformulars.

Bitte beachten Sie beim Melden:

• Nutzen Sie die Schwachstelle nicht aus (z. B. Herunterladen, Verändern oder Löschen von Daten).
• Versuchen Sie nicht, auf personenbezogene oder vertrauliche Informationen zuzugreifen.
• Führen Sie keine Angriffe wie Social Engineering, (D)DoS, Spam, Brute Force oder physische Manipulation durch.
• Stellen Sie ausreichende Informationen bereit, damit wir das Problem reproduzieren und verstehen können (URLs, Schritte, technische Details).
• Ermöglichen Sie uns eine angemessene Zeit zur Untersuchung und Behebung der Schwachstelle, bevor Sie diese öffentlich machen.

Vorlage

Titel / Name der Schwachstelle
Art der Schwachstelle
Kurze, nicht-technische Beschreibung
Betroffenes System
Hersteller
Produkt
Version / Modell
Angriffsvektor (Remote / Lokal / Netzwerk / Physisch)
Authentifizierungserfordernis (Pre-Auth / Gast / Nutzer / Admin)
Erforderliche Nutzerinteraktion
Technische Details
Proof of Concept
Vorschlag zur Behebung
Autor und Kontaktinformationen (oder Alias)
Einwilligung zur öffentlichen Erwähnung
  

Was Sie von uns erwarten können

Nach Eingang Ihrer Meldung:

• Wir bestätigen den Eingang und halten Sie über den Fortschritt auf dem Laufenden.
• Wir behandeln Ihre Meldung vertraulich und schützen Ihre persönlichen Daten.
• Wir bewerten und beheben Schwachstellen so schnell wie möglich.

Auf Wunsch erwähnen wir Sie öffentlich (Name oder Alias), sobald die Schwachstelle behoben wurde.
Ihre Fähigkeiten und Beiträge werden unabhängig von Alter, Herkunft, Geschlecht oder Hintergrund geschätzt.

Derzeit bieten wir keine finanziellen Belohnungen an!

Qualifizierte Schwachstellen

Als qualifiziert gelten reproduzierbare Sicherheitsprobleme, die zu unbefugtem Zugriff, Datenexposition oder Systemkompromittierung führen können, darunter:

• Cross-Site Scripting (XSS)
• Cross-Site Request Forgery (CSRF)
• Remote Code Execution (RCE)
• Insecure Direct Object Reference
• Information leakage
• Unbefugter Zugriff auf Konten oder Daten
• Exploitable backdoors
• Fehlkonfigurationen, die unbefugten Zugriff ermöglichen

Nicht qualifizierte Schwachstellen

Nicht im Umfang der VDP enthalten sind:

• Funde, die physischen Zugang erfordern
• Automatisierte Scanner-Ergebnisse ohne Erklärung
• Social engineering
• Denial-of-Service (DoS/DDoS) Reports
• Spam, Bots, Massenregistrierungen
• Gefahren oder Bedrohungen ohne exploitierbare Schwachstelle

Einsatz von Schwachstellenscannern

Der Einsatz von Scannern ist erlaubt, sofern:

• die Verfügbarkeit der Systeme nicht beeinträchtigt wird,
• die Scans nicht übermäßig invasiv sind,
• Funde ausreichend dokumentiert werden.

Automatisierte Berichte ohne Analyse gelten nicht als qualifizierte Schwachstellen.

Behebungsfristen

Wir bemühen uns, Schwachstellenberichte innerhalb von 90 Tagen nach Eingang abzuschließen.
Komplexe Fälle können mehr Zeit erfordern – wir halten Sie darüber informiert.

Häufig gestellte Fragen (FAQ)

Kann ich die Schwachstelle nach der Meldung öffentlich teilen?
Erst nachdem sie behoben und offiziell als geschlossen bestätigt wurde.