Sicherheitsoffenlegung

Eine Sicherheitslücke melden

Wenn Sie der Ansicht sind, eine Sicherheitslücke entdeckt zu haben, die cryptoservers.io oder die zugrundeliegende Infrastruktur betrifft, melden Sie diese bitte über einen der folgenden Kanäle:

• E-Mail — [email protected], vorzugsweise PGP-verschlüsselt mit unserem öffentlichen Schlüssel.
• security.txt — maschinenlesbarer Kontakt unter /.well-known/security.txt gemäß RFC 9116.
• HackerOne privat — auf Einladung; erwähnen Sie Ihr HackerOne-Handle in Ihrer ersten E-Mail.

Bitte melden Sie Sicherheitslücken nicht über öffentliche Kanäle (GitHub-Issues, Twitter, Mastodon, Support-Tickets), bevor wir die Möglichkeit hatten zu antworten.

Geltungsbereich

Im Geltungsbereich

• Die Web-Präsenz cryptoservers.io und alle Subdomains.
• Das Kundenkontrollpanel (panel.cryptoservers.io).
• Das Verzeichnis /.well-known/ und seine signierten Inhalte.
• Hypervisor-Escape-, Host-to-Guest-, Guest-to-Guest- und Live-Migrations-Bugs, die unser KVM-Fabric betreffen.
• Authentifizierungs- / Autorisierungs-Bypässe im Panel oder dessen OAuth-Flow.
• Offenlegung von personenbezogenen Kundendaten oder Zahlungsdaten.

Außerhalb des Geltungsbereichs

• Kundenseitig gehostete Inhalte oder kundenseitig betriebene Dienste, die auf unserer Infrastruktur laufen — kontaktieren Sie den Kunden direkt oder nutzen Sie abuse@.
• Denial-of-Service-Tests gegen unsere Infrastruktur.
• Social-Engineering unserer Mitarbeiter.
• Befunde aus automatisierten Scannern ohne nachweisbaren Einfluss.
• Fehlende Sicherheits-Header, die nicht direkt zu einer Sicherheitslücke führen.
• Veraltete Softwareversionen auf Marketing-Oberflächen ohne funktionierenden Exploit.

Was passiert, nachdem Sie gemeldet haben

1. Bestätigung innerhalb von 24 Stunden, 7 Tage pro Woche. PGP-signiert.
2. Triage innerhalb von 72 Stunden — Schweregradbeurteilung und eine erste Behebungs-ETA.
3. Behebung und Verifikation — wir liefern einen Fix, bitten Sie um Verifizierung, und stellen ihn dann in die Produktion.
4. Koordinierte Offenlegung — mit Ihnen vereinbart, typischerweise 90 Tage nach Auslieferung des Fixes. Wir veröffentlichen eine Post-Mortem-Analyse mit Nennung Ihres Namens (oder anonym auf Wunsch).
5. Prämie — siehe den Prämienabschnitt unten.

Prämienmaßstab

Auszahlbar in USD (per Banküberweisung) oder in der Kryptowährung Ihrer Wahl (BTC, XMR, LTC, ETH, DASH, BCH, DOGE) zum Kassakurs am Tag der Zuerkennung.

Doppelte Meldungen werden nach dem Grundsatz der ersten gültigen Einreichung prämiert. Die bisher höchste von uns gezahlte Prämie beträgt 12.000 $ (2025-09-11, Hypervisor-Live-Migration-TOCTOU). Alle gültigen Forscher werden auf Wunsch in der Hall of Fame aufgeführt.

Safe Harbor

Forschung, die im Rahmen und im Sinne dieser Richtlinie durchgeführt wird, gilt nach dem Recht von Saint Kitts und dem Recht unserer Betriebsjurisdiktionen nicht als unbefugter Zugriff, und wir werden keine zivilrechtlichen oder strafrechtlichen Schritte gegen gutgläubig handelnde Forscher einleiten. Konkret:

• Exfiltrieren Sie nicht mehr Daten als zur Demonstration der Auswirkung erforderlich — ein einzelner Screenshot belegt den Sachverhalt.
• Führen Sie keine destruktiven Aktionen durch (Löschen von Kundendaten, Anhalten von Diensten, Änderung des Produktionszustands).
• Stoppen Sie und melden Sie, sobald die Auswirkung demonstriert ist.
• Teilen Sie Erkenntnisse nicht vor dem vereinbarten Offenlegungsdatum mit Dritten.

Wenn Sie versehentlich — in guter Absicht — den Geltungsbereich verlassen, kontaktieren Sie uns unverzüglich, und wir werden es gemeinsam klären.