1. Einleitung
Bei unofax hat die Sicherheit unserer Systeme und der Daten unserer Nutzer höchste Priorität. Wir begrüßen und schätzen Berichte von Sicherheitsforschern, ethischen Hackern und der breiteren Gemeinschaft, die uns bei der Identifizierung und Behebung potenzieller Schwachstellen helfen. Diese Richtlinie beschreibt, wie Sie Sicherheitsprobleme verantwortungsvoll melden können und was Sie von uns erwarten dürfen.
2. Geltungsbereich
Diese Richtlinie gilt für Schwachstellen, die in der unofax-Webanwendung unter unofax.com und den zugehörigen APIs entdeckt werden. Folgendes ist ausgenommen:
• Drittanbieterdienste (z. B. Square-Zahlungsabwicklung, Google Analytics)
• Social-Engineering- oder Phishing-Angriffe gegen Mitarbeiter oder Nutzer von unofax
• Denial-of-Service-Angriffe (DoS/DDoS)
• Physische Sicherheitsprobleme
• Schwachstellen in Software oder Infrastruktur, die nicht unofax gehört
3. So melden Sie eine Schwachstelle
Wenn Sie eine potenzielle Sicherheitslücke entdecken, melden Sie diese bitte per E-Mail an support@unofax.com. Bitte geben Sie so viele Details wie möglich an:
• Eine Beschreibung der Schwachstelle und ihrer möglichen Auswirkungen
• Schritte zur Reproduktion des Problems
• Unterstützende Nachweise (Screenshots, Proof-of-Concept-Code, Protokolle)
• Ihr Name und Ihre Kontaktdaten (optional, aber hilfreich für Rückfragen)
4. Unsere Verpflichtungen
Wenn Sie eine Schwachstelle in gutem Glauben und in Übereinstimmung mit dieser Richtlinie melden, verpflichten wir uns zu Folgendem:
• Bestätigung des Eingangs Ihres Berichts innerhalb von 3 Werktagen
• Bereitstellung einer ersten Bewertung innerhalb von 10 Werktagen
• Information über unseren Fortschritt bei der Behebung des Problems
• Keine rechtlichen Schritte gegen Sie für Ihre Forschungsaktivitäten, die in Übereinstimmung mit dieser Richtlinie durchgeführt wurden
• Nennung Ihres Namens (falls gewünscht), wenn wir die Schwachstelle öffentlich beheben
5. Richtlinien für Forscher
Um sicherzustellen, dass Ihre Forschung verantwortungsvoll durchgeführt wird, halten Sie sich bitte an die folgenden Richtlinien:
• Greifen Sie nicht auf Daten anderer Nutzer zu, ändern oder löschen Sie diese nicht
• Stören oder beeinträchtigen Sie nicht die Verfügbarkeit der unofax-Dienste
• Veröffentlichen Sie die Schwachstelle nicht, bevor wir eine angemessene Gelegenheit hatten, sie zu beheben
• Handeln Sie in gutem Glauben und vermeiden Sie Handlungen, die unofax oder seinen Nutzern schaden könnten
• Testen Sie nur mit Konten, die Ihnen gehören oder für die Sie eine ausdrückliche Genehmigung zum Testen haben
6. Safe Harbour
Wir betrachten Sicherheitsforschung, die in Übereinstimmung mit dieser Richtlinie durchgeführt wird, als autorisiert und werden keine rechtlichen Schritte gegen Forscher einleiten, die diese Richtlinien einhalten. Sollte ein Dritter rechtliche Schritte gegen Sie einleiten für Aktivitäten, die in Übereinstimmung mit dieser Richtlinie durchgeführt wurden, werden wir angemessene Schritte unternehmen, um bekannt zu machen, dass Ihre Handlungen autorisiert waren.
7. Ausschlüsse
Die folgenden Arten von Erkenntnissen werden im Rahmen dieser Richtlinie in der Regel nicht berücksichtigt:
• Fehlende Sicherheits-Header, die nicht zu einem nachweisbaren Exploit führen
• Clickjacking auf Seiten ohne sensible Aktionen
• Self-XSS (Cross-Site-Scripting, das nur die eigene Sitzung des Nutzers betrifft)
• Fehlendes Rate-Limiting ohne Nachweis des Missbrauchspotenzials
• Schwachstellen, die veraltete Browser oder Plugins erfordern
• Durch automatisiertes Scannen ohne manuelle Überprüfung entdeckte Probleme
8. Kontakt
Für alle Berichte und Anfragen wenden Sie sich bitte an support@unofax.com.