Vulnerability Disclosure Policy

Zuletzt aktualisiert am {date}
ImpressumDatenschutzAGBVulnerability Disclosure Policy

Die Sicherheit unserer Plattform und der Schutz unserer Nutzer haben für Superchat höchste Priorität. Ein wesentlicher Bestandteil unserer Sicherheitsstrategie ist die frühzeitige Erkennung und Behebung von Schwachstellen. Wir schätzen die Zusammenarbeit mit der Security-Research-Community und sind überzeugt, dass diese Kooperation maßgeblich zur kontinuierlichen Verbesserung unserer Sicherheitsarchitektur beiträgt.

Wir ermutigen Security-Researcher, potenzielle Sicherheitslücken vertraulich an unser Entwicklerteam zu melden, bevor diese öffentlich bekannt werden. Unser Ziel ist es, Schwachstellen zu identifizieren und zu beheben, bevor sie ausgenutzt werden können.

Unsere Verpflichtungen

  • Untersuchung aller Meldungen: Wir verpflichten uns, alle gemeldeten Sicherheitsprobleme sorgfältig zu untersuchen und angemessen zu behandeln.
  • Vertraulichkeit: Alle von Ihnen bereitgestellten Informationen werden vertraulich behandelt.
  • Safe Harbor: Wir sichern zu, keine rechtlichen Schritte gegen Security-Researcher einzuleiten, die in gutem Glauben handeln und sich an den hier beschriebenen Prozess halten.
  • Anerkennung: Mit Ihrer Zustimmung werden wir Ihren Beitrag in unserer Hall of Fame würdigen.
  • Transparenz: Nach erfolgreicher Behebung einer Schwachstelle informieren wir betroffene Nutzer und veröffentlichen relevante Details zur identifizierten Sicherheitslücke.

Geltungsbereich

Im Scope:

  • Superchat Plattform
  • Superchat Mobile Apps (iOS und Android)
  • Superchat Desktop App
  • Superchat APIs und zugehörige Dienste
  • Superchat Webanwendungen
  • Superchat Web Widget
  • Superchat Web App
  • Superchat Bewertungs-Website

Außerhalb des Scopes:

  • Abhängigkeiten von Drittanbietern: Schwachstellen in Systemen oder Bibliotheken von Drittanbietern sollten direkt an den jeweiligen Anbieter gemäß deren Disclosure-Policy gemeldet werden.
  • Denial-of-Service (DoS)-Angriffe, die erhebliche Ressourcen erfordern
  • Physische Sicherheitsangriffe auf Superchat-Räumlichkeiten
  • Social-Engineering-Angriffe auf Superchat-Mitarbeiter
  • Spam oder Missbrauch unserer Services

Meldeprozess

1. Einreichung der Meldung

Wenn Sie eine potenzielle Sicherheitslücke in unseren Produkten oder Diensten entdeckt haben, kontaktieren Sie uns bitte per E-Mail unter security@superchat.de.

Bitte verwenden Sie diese Kanäle ausschließlich für Sicherheitsmeldungen. Für allgemeine Softwarefehler nutzen Sie bitte unseren regulären Support.

2. Erforderliche Informationen

Bitte stellen Sie so viele relevante Informationen wie möglich zur Verfügung:

  • Detaillierte Beschreibung: Eine präzise Zusammenfassung der Schwachstelle und ihrer möglichen Auswirkungen.
  • Betroffene Komponenten: Spezifische URLs, Parameter, APIs oder Anwendungsteile.
  • Art der Schwachstelle: z.B. XSS, CSRF, SQL-Injection, Authentication Bypass.
  • Technische Umgebung: Betriebssystem, Browser-Versionen und andere relevante Software, mit der die Schwachstelle reproduziert werden kann.
  • Reproduktionsanleitung: Detaillierte Schritte zur Reproduktion der Schwachstelle, inklusive Screenshots oder Videos, wenn hilfreich.
  • Proof of Concept: Code oder Beispiele, die die Ausnutzbarkeit der Schwachstelle demonstrieren.
  • Schweregrad: Idealerweise mit CVSS v3.1 Score (CVSS Calculator).
  • Potenzielle Lösungsvorschläge: Falls Sie Empfehlungen zur Behebung haben.
  • Ihre Kontaktdaten: Für Rückfragen und Updates.
  • Offenlegungspläne: Ob und wann Sie planen, Ihre Erkenntnisse öffentlich zu machen.

Bitte reichen Sie für jede entdeckte Schwachstelle eine separate Meldung ein.

3. Open-Source-Komponenten

Wir verwenden verschiedene Open-Source-Komponenten in unseren Produkten. Falls Sie eine Sicherheitslücke in einer solchen Komponente entdecken, bitten wir Sie:

  • Die Schwachstelle direkt beim betreffenden Open-Source-Projekt zu melden.
  • Uns über diese Meldung zu informieren, damit wir entsprechende Maßnahmen ergreifen können.

4. Verantwortungsvolle Vorgehensweise

Bei der Suche nach Sicherheitsproblemen bitten wir Sie:

  • Keine Nutzerdaten zu gefährden: Vermeiden Sie den Zugriff auf, die Veränderung oder Löschung von Daten anderer Nutzer.
  • Minimale Eingriffe: Beschränken Sie Ihre Tests auf das notwendige Minimum zur Demonstration der Schwachstelle.
  • Keine DoS-Angriffe: Verzichten Sie auf Tests, die die Systemverfügbarkeit beeinträchtigen könnten.
  • Keine automatisierten Scans: Führen Sie keine automatisierten Vulnerability Scans durch, die unsere Systeme belasten könnten.
  • Keine Social-Engineering-Angriffe: Verzichten Sie auf Phishing oder ähnliche Angriffe gegen Superchat-Mitarbeiter.

Unser Reaktionsprozess

  • Bestätigung: Wir werden den Eingang Ihrer Meldung innerhalb von 48 Stunden bestätigen.
  • Bewertung: Unser Security-Team untersucht die gemeldete Schwachstelle und bewertet deren Schweregrad und Auswirkungen.
  • Kommunikation: Wir halten Sie über den Status der Untersuchung auf dem Laufenden und informieren Sie über unsere Einschätzung.
  • Behebung: Bei bestätigten Schwachstellen entwickeln wir umgehend einen Patch oder eine andere Abhilfemaßnahme.
  • Verifizierung: Nach der Implementierung überprüfen wir die Wirksamkeit unserer Maßnahmen.
  • Offenlegung: Nach Abschluss aller Behebungsmaßnahmen: Informieren wir betroffene Nutzer falls erforderlich, veröffentlichen wir relevante Details in unserem Security Advisory und erkennen mit Ihrer Zustimmung Ihren Beitrag an.

Zeitplan für die Offenlegung

Wir streben die folgende Timeline an:

  • 0 Tage: Eingang der Schwachstellen-Meldung
  • 2 Tage: Erste Bestätigung des Eingangs
  • 7 Tage: Erste Bewertung der Schwachstelle
  • 30 Tage: Ziel für die Behebung der Schwachstelle
  • 90 Tage: Koordinierte Offenlegung (falls nicht anders vereinbart)

Bei komplexen Schwachstellen kann dieser Zeitplan in Absprache mit dem Melder angepasst werden.

Kontakt

Bei Fragen zu dieser Policy oder dem Meldeprozess kontaktieren Sie bitte unser Security-Team unter security@superchat.de.

Vielen Dank für Ihre Unterstützung bei der Sicherung der Superchat-Plattform!