🐛 Vulnerability Disclosure

Wir schätzen die Arbeit von Security-Forschern und der Community. Wenn Sie eine Schwachstelle in unseren Systemen entdeckt haben, melden Sie diese bitte verantwortungsvoll – wir versprechen Transparenz und faire Behandlung.

Responsible Disclosure
Safe Harbor
90 Tage Frist

Unser Versprechen an Sie

Was Sie von uns erwarten können, wenn Sie eine Schwachstelle melden

Bestätigung innerhalb 48h

Wir bestätigen den Eingang Ihrer Meldung innerhalb von 48 Stunden und informieren Sie über den weiteren Verlauf.

Safe Harbor

Kein rechtliches Vorgehen gegen Forscher, die sich an diese Policy halten und im guten Glauben handeln.

Vertraulichkeit

Ihre persönlichen Daten werden nicht ohne Ihre ausdrückliche Zustimmung veröffentlicht oder weitergegeben.

Regelmäßige Updates

Wir halten Sie über den Bearbeitungsfortschritt auf dem Laufenden und informieren Sie vor einer öffentlichen Bekanntmachung.

Anerkennung

Valide Meldungen werden auf unserer Security Hall of Fame veröffentlicht (mit Ihrer Zustimmung).

90-Tage-Frist

Wir verpflichten uns, kritische Schwachstellen innerhalb von 90 Tagen zu beheben oder einen Mitigationsplan bereitzustellen.

Scope

Was ist im Scope – und was nicht

Im Scope

  • api.supacheap.eu und alle Subdomains
  • supacheap.eu Web-Applikation
  • Developer Dashboard (dashboard.supacheap.eu)
  • Authentifizierungs- und OAuth-Flows
  • API-Endpunkte und Webhook-Mechanismen
  • Mobile Apps (iOS & Android)

Außerhalb des Scope

  • Social Engineering gegenüber Mitarbeitern
  • Physische Angriffe auf Infrastruktur
  • Denial-of-Service (DoS/DDoS) Angriffe
  • Drittanbieter-Dienste ohne direkte Relevanz
  • Spam oder Phishing-Kampagnen
  • Bereits bekannte Schwachstellen (public CVEs)

Meldeprozess

So läuft eine Meldung ab

1
Schwachstelle dokumentieren

Beschreiben Sie die Schwachstelle so detailliert wie möglich: betroffene URL, Schritte zur Reproduktion, mögliche Auswirkungen und ggf. einen Proof-of-Concept.

2
Verschlüsselt per E-Mail senden

Senden Sie Ihre Meldung an security@supacheap.eu – idealerweise PGP-verschlüsselt (Schlüssel unten). Bitte keine öffentlichen Kanäle nutzen.

3
Eingangsbestätigung <48h

Sie erhalten innerhalb von 48 Stunden eine Bestätigung mit einer Ticketnummer zur Verfolgung Ihrer Meldung.

4
Analyse & Bewertung

Unser Security-Team analysiert die Schwachstelle, bewertet den CVSS-Score und priorisiert die Behebung entsprechend.

5
Behebung & Anerkennung

Nach der Behebung informieren wir Sie und veröffentlichen Sie auf Wunsch in unserer Security Hall of Fame.

Schwachstelle jetzt melden

Bitte nutzen Sie ausschließlich E-Mail für Sicherheitsmeldungen. Verwenden Sie unseren PGP-Schlüssel für vertrauliche Berichte.

Kontakt: security@supacheap.eu
PGP Fingerprint: A1B2 C3D4 E5F6 7890 ABCD EF01 2345 6789 ABCD EF12
Key-ID: 0xABCDEF12
Keyserver: keys.openpgp.org
security@supacheap.eu Incident Response