Richtlinie zur verantwortungsvollen Offenlegung

Wie Sie Sicherheitslücken an RocketShare melden können

Wir nehmen die Sicherheit von RocketShare und die Daten unserer Benutzer ernst. Wenn Sie eine Sicherheitslücke entdecken, schätzen wir Ihre Hilfe bei der verantwortungsvollen Offenlegung.

Geltungsbereich

Die folgenden Bereiche fallen unter diese Richtlinie:

  • rocketshare.app — die Hauptwebanwendung
  • API-Endpunkte unter rocketshare.app
  • Die clientseitige Verschlüsselungsimplementierung
  • Authentifizierung und Sitzungsverwaltung
  • Zugriffskontrolle und Autorisierungslogik

So melden Sie

Reichen Sie Ihre Erkenntnisse über unser Kontaktformular mit dem Betreff „Meldung einer Sicherheitslücke" ein. Bitte fügen Sie bei:

  • Eine klare Beschreibung der Sicherheitslücke
  • Schritte zur Reproduktion des Problems
  • Die potenzielle Auswirkung nach Ihrem Verständnis
  • Jeden Proof-of-Concept-Code oder Screenshots (falls zutreffend)
  • Ihre Kontaktinformationen für Rückfragen

Was wir bitten

  • Veröffentlichen Sie die Sicherheitslücke nicht öffentlich, bevor wir eine angemessene Gelegenheit hatten, sie zu beheben
  • Greifen Sie nicht auf Daten anderer Benutzer zu, ändern oder löschen Sie diese nicht während Ihrer Untersuchung
  • Führen Sie keine Denial-of-Service-Angriffe durch oder Tests, die den Service für andere Benutzer beeinträchtigen
  • Verwenden Sie keine automatisierten Scan-Tools in großem Umfang gegen Produktionssysteme — testen Sie manuell oder verwenden Sie ein persönliches Testkonto
  • Handeln Sie in gutem Glauben — bemühen Sie sich aufrichtig, Datenschutzverletzungen und Störungen zu vermeiden

Was wir versprechen

  • Bestätigung innerhalb von 48 Stunden — wir bestätigen den Eingang Ihres Berichts innerhalb von 2 Werktagen
  • Regelmäßige Updates — wir halten Sie über unseren Fortschritt bei der Untersuchung und Behebung des Problems auf dem Laufenden
  • Angemessener Behebungszeitraum — wir streben an, bestätigte Sicherheitslücken innerhalb von 90 Tagen zu beheben, abhängig von der Komplexität
  • Anerkennung — mit Ihrer Erlaubnis werden wir Sie als Melder nennen, wenn wir die Behebung offenlegen
  • Keine rechtlichen Schritte — wir werden keine rechtlichen Schritte gegen Forscher einleiten, die diese Richtlinie in gutem Glauben befolgen

Keine finanziellen Belohnungen

Derzeit bieten wir keine finanziellen Belohnungen (Bug Bounties) für Sicherheitsmeldungen an. Wir bieten öffentliche Anerkennung und unseren aufrichtigen Dank dafür, dass Sie RocketShare sicher halten.

Außerhalb des Geltungsbereichs

Die folgenden Punkte gelten nicht als Sicherheitslücken im Rahmen dieser Richtlinie:

  • Social Engineering — Phishing- oder Pretexting-Angriffe gegen unser Team oder unsere Benutzer
  • Denial of Service (DoS/DDoS) — volumetrische Angriffe oder Ressourcenerschöpfung
  • Dienste Dritter — Sicherheitslücken in Diensten, die wir verwenden, aber nicht kontrollieren (z. B. Cloudflare, Zahlungsabwickler)
  • Self-XSS — Probleme, die erfordern, dass das Opfer Code in die Browser-Konsole einfügt
  • Fehlende Sicherheitsheader auf nicht sensiblen Seiten — es sei denn, sie führen zu einem nachweisbaren Exploit
  • Rate Limiting — Fehlen von Ratenbegrenzung auf nicht kritischen Endpunkten
  • Offenlegung von Softwareversionen — Server- oder Framework-Versionsinformationen in Headern oder Antworten
  • Content Spoofing — ohne nachweisbare Sicherheitsauswirkung

Diese Richtlinie ist ab Februar 2026 gültig. Bei Fragen zu dieser Richtlinie kontaktieren Sie uns.