Die Sicherheit unserer Systeme, Daten und Nutzer liegt uns sehr am Herzen. Wenn Sie in einem unserer Dienste eine Schwachstelle oder ein Sicherheitsproblem entdecken, wären wir Ihnen sehr dankbar, wenn Sie uns dies verantwortungsvoll und vertraulich melden.
Worum wir Sie bitten
Wenn Sie etwas Bedenkliches gefunden haben, bitten wir Sie:
- Geben Sie uns die Gelegenheit, das Problem zu beheben, bevor Sie es öffentlich machen.
- Greifen Sie nicht auf Daten zu und verändern Sie keine Daten, die Ihnen nicht gehören.
- Stören Sie nicht unsere Dienste oder die Nutzungserfahrung anderer Nutzer.
- Verwenden Sie beim Testen Ihre eigenen Konten, keine Massenregistrierungen oder Fake-Anmeldungen.
- Sehen Sie bitte von DoS-/DDoS-Angriffen, Spam, automatisierten Scanner-Berichten oder Social-Engineering-Angriffen ab.
Was in unserem Geltungsbereich liegt
Bitte konzentrieren Sie sich auf Schwachstellen in Diensten, die von uns erstellt oder gehostet werden.
Beispiele für zulässige Bugs und Sicherheitslücken sind:
- Injection- und Deserialisierungs-Schwachstellen
- Unzureichend geschützte APIs oder Apps
- Bekannte und Zero-Day-Schwachstellen
- Cross-Site Scripting (XSS)
- Open Redirect
- Cross-Site Request Forgery (CSRF)
- File Inclusion
- Umgehung der Authentifizierung
- Serverseitige Codeausführung
Was nicht in unserem Geltungsbereich liegt
Schwachstellen in Drittanbieter-Plattformen oder -Abhängigkeiten (z. B. Cloud-Anbieter, Managed Services) fallen nicht in unseren Geltungsbereich.
Beispiele für nicht zulässige Meldungen sind:
- Ergebnisse bekannter automatisierter Tools
- Ergebnisse von KI-basierten Tools ohne nachvollziehbare Grundlage oder Erklärung
- Fehlende Cookie-Flags bei Nicht-Session-Cookies oder Cookies von Drittanbietern
- Logout-CSRF
- Social Engineering
- Denial-of-Service-Angriffe
- Schwache TLS-Verschlüsselungen
- E-Mail-Spoofing, SPF, DMARC & DKIM
- Brute-Force-Angriffe
- Verbesserungen von Passwort-Richtlinien
- Hardening-Tipps (z. B. fehlender CSP-Header oder SRI-Attribut)
Wie Sie Meldung erstatten können
Bitte kontaktieren Sie uns auf sicherem Weg:
Email: security@wemolo.com
PGP Schlüssel: https://www.wemolo.com/security-wemolo-public.pub.asc
security.txt: https://www.wemolo.com/.well-known/security.txt
Wir bemühen uns, innerhalb von 24 Stunden auf Ihre Meldung zu antworten.
Was Sie erwarten können
Wenn Sie diese Richtlinien befolgen, werden wir:
- Keine rechtlichen Schritte gegen Sie einleiten, sofern Ihre Forschung in gutem Glauben im Rahmen dieser Richtlinie erfolgt.
- Ihre Meldung mit Respekt und Dankbarkeit behandeln.
- Ihre persönlichen Daten (z. B. IP-Adresse), falls bereitgestellt, vertraulich behandeln und nur weitergeben, wenn dies zur Behebung der Schwachstelle oder gesetzlich erforderlich ist.
- Mit Ihnen zusammenarbeiten, um das Problem zu verstehen und zu validieren.
- Sie während des Behebungsprozesses auf dem Laufenden halten.
Bitte beachten Sie: Wir bieten aktuell kein Belohnungs-, Bug-Bounty- oder öffentliches Anerkennungsprogramm an, entscheiden aber von Fall zu Fall.
Lassen Sie uns wissen, wenn Sie Updates prüfen, Patches testen oder einfach über Sicherheit sprechen möchten – wir freuen uns immer über den Austausch mit engagierten Forschenden.
Vielen Dank, dass Sie uns dabei helfen, das Internet sicherer zu machen.
