Skip to content
Wesprs

Sicherheit & Schwachstellen-Offenlegung

Wenn du eine Schwachstelle gefunden hast, sag uns Bescheid. Wir lesen jede Meldung gutgläubiger Forschender und bestätigen sie innerhalb von 72 Stunden.

Geltungsbereich

Diese Richtlinie umfasst die Wesprs-Website unter wesprs.com, unsere API unter api.wesprs.com und die Wesprs-iOS-App. Probleme in verlinkten Drittanbieter-Diensten oder in Software, die wir nicht betreiben, fallen nicht darunter — melde diese an die Stelle, die sie betreibt.

Im Geltungsbereich liegen die üblichen Verdächtigen: Authentifizierung und Sitzungsverwaltung, Zugriffskontrolle, Injection, unsere Durchsetzung von grobem Standort und Vergänglichkeit, die Pipeline zum Entfernen von Bild-Metadaten und alles, was Daten offenlegen könnte, von denen wir versprechen, sie nicht vorzuhalten.

Wie du meldest

Schreibe an [email protected] mit genug Details zur Reproduktion: der betroffene Endpunkt oder Bildschirm, die Schritte und die Auswirkung. Ein Proof-of-Concept hilft. Musst du sensible Details senden, bitte uns um einen Schlüssel, und wir richten einen verschlüsselten Kanal ein.

Unsere maschinenlesbaren Kontaktdaten folgen RFC 9116 und sind unter wesprs.com/.well-known/security.txt veröffentlicht.

Was du von uns erwarten kannst

Wir bestätigen eine gültige Meldung innerhalb von 72 Stunden. Wir halten dich auf dem Laufenden, während wir triagieren, an einer Behebung arbeiten und sie verifizieren. Wir streben eine zügige Behebung an und sagen dir ehrlich, wenn eine Behebung Zeit braucht und warum.

Wir praktizieren koordinierte Offenlegung: Bitte gib uns ein angemessenes Zeitfenster, ein Problem zu beheben, bevor du es veröffentlichst, und wir nennen dich auf Wunsch namentlich — oder bleiben still, wenn dir das lieber ist.

Safe Harbour

Wenn du dich nach bestem Wissen an diese Richtlinie hältst, behandeln wir deine Forschung als autorisiert. Wir verfolgen oder unterstützen keine rechtlichen Schritte gegen dich wegen versehentlicher, gutgläubiger Verstöße, und wir melden dich nicht den Strafverfolgungsbehörden, solange du im Rahmen dieser Richtlinie testest.

Guter Glaube bedeutet: Teste nur Konten und Daten, die dir gehören oder zu deren Nutzung du berechtigt bist; greife nicht auf Daten anderer zu, verändere oder lösche sie nicht; führe keine Denial-of-Service-, Spam-, Social-Engineering- oder physischen Angriffe durch; höre auf, sobald du eine Schwachstelle bestätigt hast, und melde sie; und gib uns Zeit zur Reaktion, bevor du offenlegst. Bist du unsicher, ob etwas im Rahmen liegt, frage zuerst unter [email protected].

Noch kein Bounty

Wir betreiben derzeit kein bezahltes Bug-Bounty-Programm, und das sagen wir lieber klar, als eine Belohnung anzudeuten, die wir nicht bieten. Wir schätzen gutgläubige Forschung wirklich, nennen dich mit deiner Einwilligung öffentlich und führen vielleicht später ein Bounty ein. Eine echte Meldung schützt Menschen, die uns bewusst nur sehr wenige Daten anvertraut haben.

Kontakt

Wesprs wird betrieben von Digital Services LLC, 27, Takaishvili st., Batumi, Georgien, 6004.

Sicherheitsmeldungen: [email protected]. Datenschutzangelegenheiten: [email protected].

Wenn dich eine Verletzung des Schutzes personenbezogener Daten betrifft, befolgen wir die in unserer Datenschutzerklärung beschriebenen Benachrichtigungspflichten.