Legal
Responsible Vulnerability Disclosure

Responsible Vulnerability Disclosure

Wir nehmen Sicherheit ernst — und Sie auch. Danke dafür. Die Sicherheit unserer Systeme und die Privatsphäre unserer Nutzer liegen uns sehr am Herzen. Wenn Sie eine Schwachstelle in einem unserer Produkte entdeckt haben, leisten Sie einen echten Beitrag zu einem sichereren Internet — und das schätzen wir sehr. Diese Seite erklärt, wie Sie Ihre Funde sicher und verantwortungsbewusst mit uns teilen können.

Unser Versprechen an Researcher

Sicherheitsforschung ist wertvolle Arbeit, und wir möchten es Ihnen leicht machen, Funde ohne Zögern zu melden. Wenn Sie in gutem Glauben handeln und die Richtlinien auf dieser Seite befolgen, haben Sie unser Versprechen, dass wir keine rechtlichen Schritte gegen Sie einleiten werden — und wir werden keine Strafverfolgung einschalten. Sollte ein Dritter rechtliche Schritte gegen Sie einleiten für Aktivitäten, die unter diese Richtlinie fallen, werden wir klarstellen, dass Ihre Handlungen mit unserem Wissen und unserer Genehmigung erfolgten.

Wir bitten Sie lediglich, innerhalb des definierten Rahmens zu bleiben, den Zugriff auf Daten auf das zur Demonstration des Problems notwendige Maß zu beschränken und uns eine faire Chance zu geben, es zu beheben, bevor Sie es öffentlich machen.

Kurz gesagt: Handeln Sie verantwortungsbewusst, und wir halten Ihnen den Rücken frei — egal wo auf der Welt Sie ansässig sind.

Gültigkeitsbereich

Im Gültigkeitsbereich: Alle von opago verwalteten Dienste, APIs und Webanwendungen. Einschließlich *.opago.com und *.opago-pay.com.

Außerhalb des Gültigkeitsbereichs: Drittanbieter-Integrationen, Denial-of-Service-Angriffe (DoS), Social Engineering & physische Tests oder automatisierte Scanner-Ergebnisse ohne manuelle Überprüfung.

Wie Sie eine Schwachstelle melden

Senden Sie uns eine E-Mail. Um uns zu helfen, Ihren Bericht schnell zu triagieren, geben Sie bitte die folgenden Informationen an:

  • Eine klare Beschreibung des Problems — welche URL, welcher Endpunkt oder welche Komponente betroffen ist, was Sie gefunden haben und warum es ein Sicherheitsrisiko darstellt.
  • Schritt-für-Schritt-Anleitung zur Reproduktion — je detaillierter, desto besser. Screenshots, HTTP-Anfrage/Antwort-Logs oder Proof-of-Concept-Code sind sehr willkommen.
  • Mögliche Auswirkungen — Ihre Einschätzung, was ein Angreifer mit dieser Schwachstelle tun könnte.
  • Ihre Umgebung — Browser, Betriebssystem oder Tool-Version, sofern relevant.
  • Ihre Kontaktdaten & bevorzugtes Alias — damit wir Sie auf dem Laufenden halten können und wissen, wie wir Sie nennen sollen (wenn Sie das möchten).

Bitte nutzen Sie die Schwachstelle nicht aus und greifen Sie nicht auf Daten zu, die über das zur Demonstration notwendige Maß hinausgehen. Und bitte halten Sie Ihre Erkenntnisse vertraulich, bis wir eine Chance zur Behebung hatten — wir arbeiten mit einem 90-tägigen Zeitraum für die koordinierte Offenlegung.

Vulnerability Bericht erstellen

Was Sie von uns erwarten können

  • Schnelle Bestätigung: Wir bestätigen den Eingang Ihres Berichts innerhalb von 3 Werktagen.
  • Regelmäßige Updates: Wir halten Sie über unsere Fortschritte bei der Untersuchung und Behebung auf dem Laufenden.
  • Anerkennung: Mit Ihrer Erlaubnis nehmen wir Sie in unsere Hall of Thanks auf. Möchten Sie lieber anonym bleiben? Kein Problem — wir fragen nicht nach.

Wall of Thanks

Name / Alias URL Schwachstelle

Noch keine Einträge. Sei der Erste, der eine Schwachstelle verantwortungsvoll meldet.