Schwachstelle melden
Wenn Sie ein Sicherheitsproblem in Pikly gefunden haben, kontaktieren Sie uns, bevor Sie es öffentlich teilen.
Was enthalten sein muss
Je klarer Ihr Bericht ist, desto schneller können wir das Problem validieren und beheben.
- ✓Eine klare Beschreibung des Problems und der möglichen Auswirkungen.
- ✓Schritt-für-Schritt-Anleitung zur Reproduktion des Problems.
- ✓Die betroffene Seite, App-Version, das Betriebssystem, der Browser, das Gerät oder die Funktion.
- ✓Screenshots, Bildschirmaufnahmen, Protokolle oder Proof-of-Concepts, wenn hilfreich.
- ✓Alle Bedingungen, die nötig sind, um das Problem auszulösen, z. B. Berechtigungen, Geräteeinstellungen oder Abostatus.
Bitte nicht
Tests müssen respektvoll, begrenzt und ohne Schaden für Pikly, Nutzer oder Infrastruktur erfolgen.
- ×Auf Daten anderer Nutzer zugreifen, sie ändern, löschen, kopieren oder offenlegen.
- ×Denial-of-Service-, Stress-, Spam-, Ratenbegrenzungs- oder Ressourcenerschöpfungstests durchführen.
- ×Social Engineering, Phishing, physische Angriffe oder Versuche gegen Pikly-Mitarbeitende, Nutzer oder Anbieter einsetzen.
- ×Schadsoftware installieren, Zugang persistent halten, Zahlungssysteme umgehen oder Abonnements stören.
- ×Das Problem öffentlich zu machen, bevor wir es geprüft und eine angemessene Gelegenheit zur Behebung hatten.
Testumfang
Konzentriere dich auf Pikly-eigene Oberflächen und Funktionen, deren Nutzung du autorisiert bist.
Normalerweise im Umfang
Öffentliche Pikly-Webseiten, Funktionen der Pikly-Mobile-App, Barcode-Scan-Ablauf, lokale Inventarfunktionen, Verhalten des CSV-Exports und Logik des Abozugangs.
Normalerweise außerhalb des Umfangs
Drittanbieterplattformen wie Apple, Google, Zahlungs-, Hosting- und E-Mail-Anbieter sowie Probleme, die schädliche oder umfangreiche Tests erfordern.
Unser Prüfungsprozess
Wir bearbeiten Meldungen sorgfältig und verhältnismäßig anhand von Schweregrad und Reproduzierbarkeit.
Empfangen
Wir prüfen deinen Bericht und fragen bei Bedarf nach zusätzlichen Details.
Validieren
Wir versuchen, das Problem zu reproduzieren, das Risiko zu bewerten und die Behebung zu priorisieren.
Beheben
Wir arbeiten gegebenenfalls an einer Korrektur, Schadensbegrenzung, Konfigurationsänderung oder einem Update für Endnutzer.
Koordinieren
Wir bitten dich, jede Offenlegung mit uns abzustimmen, damit Nutzer zuerst geschützt sind.
Gutgläubige Forschung
Wir schätzen verantwortungsvolle Sicherheitsforschung, die diesen Richtlinien folgt.
Wenn du in gutem Glauben handelst, Datenschutzverletzungen vermeidest, den Dienst nicht störst und uns vor einer Veröffentlichung eine angemessene Frist zur Behebung gibst, werden wir nicht absichtlich rechtliche Schritte gegen dich wegen der Forschung selbst einleiten. Dies autorisiert keine illegalen Aktivitäten, keinen Zugriff auf Drittsysteme, keine Erpressung, Drohungen, Datenexfiltration oder Handlungen, die Nutzer oder Infrastruktur schädigen.
Pikly betreibt derzeit kein bezahltes Bug-Bounty-Programm. Das Einreichen eines Berichts garantiert weder Vergütung noch Erwähnung oder öffentliche Anerkennung.
Kontakt
Für Sicherheitsberichte verwenden Sie [email protected]. Für Datenschutzfragen lesen Sie die Datenschutzrichtlinie oder kontaktieren Sie uns unter derselben Adresse.
Vorgeschlagener E-Mail-Betreff
Security Report for Pikly