IT-Sicherheit und Schwachstellenmeldung
Die invokable GmbH entwickelt und betreibt eine Vielzahl unterschiedlicher technischer Systeme im Internet. Wir sind sehr sicherheitsbewusst und legen großen Wert auf das Thema Sicherheit. Dennoch sind wir uns vollkommen bewusst, dass es keine perfekte Sicherheit gibt. Daher erwarten wir Schwachstellen in unseren Systemen und versuchen ständig, diese zu finden.
Hast Du eine Sicherheitslücke gefunden?
Es gibt ein paar Dinge, die wir Dir mitteilen möchten bzw. worum wir Dich bitten möchten:
- Wir bitten dich höflich, einem koordinierten, verantwortungsvollen Offenlegungsprozess zu folgen.
- Bitte teile uns deine Erkenntnisse mit. Du kannst uns über security@invokable.gmbh erreichen.
Bitte gib so viele Details wie möglich an (z.B. Screenshots, genaue Fehlermeldungen etc.) - Wir werden deine Nachricht vertraulich und ernsthaft behandeln.
- Wir werden unser Bestes tun, um keine Anzeige bei den Strafverfolgungsbehörden zu machen, solange du verantwortungsbewusst und professionell handelst. Das bedeutet, dass wir erwarten, dass du eine Sicherheitslücke einreichst, uns Zeit gibst, sie zu beheben, bevor du sie öffentlich machst und dass du die Sicherheitslücke nicht absichtlich nutzt, um böse Dinge zu tun(z.B. auf Daten zuzugreifen, die nicht für dich bestimmt sind, diese zu manipulieren oder zu speichern, ...). Wir erwarten auch, dass du die Privatsphäre anderer Menschen respektierst und unsere Dienste nicht absichtlich störst.
- Derzeit bieten wir kein offizielles Bug-Bounty-Programm an. Daher können wir dich nicht offiziell autorisieren, unsere Systeme zu testen. In den meisten Fällen solltest du nicht erwarten, dass wir Belohnungen für eingereichte Schwachstellen zahlen.
- Wir glauben, dass das Internet ein besserer Ort wird, wenn Menschen Sicherheit ernst nehmen. Das bedeutet, dass wir auch verantwortlich handeln und gefundene Schwachstellen proaktiv und kostenlos an andere Entwickler melden.
Ein großes Dankeschön von unserem gesamten Team, dass du diese Regeln befolgst und die gefundene Schwachstelle einreichst.