Richtlinie zur Offenlegung von Schwachstellen

Zuletzt aktualisiert: 07.03.2026

Einführung

[ MECANIK DEV ] nimmt die Sicherheit seiner Systeme und Dienste ernst. Wir schätzen die Arbeit von Sicherheitsforschern, die uns dabei helfen, unsere Sicherheitslage zu verbessern.

Diese Richtlinie beschreibt, wie Sie uns Schwachstellen melden können und was Sie im Gegenzug erwarten können.

Geltungsbereich

Diese Richtlinie gilt für die folgenden Domains und Dienste:

  • mecanik.dev
  • members.mecanik.dev
  • api.mecanik.dev

Meldung einer Schwachstelle

Wenn Sie glauben, eine Sicherheitsschwachstelle in einem unserer Systeme gefunden zu haben, melden Sie diese bitte per E-Mail:

[email protected]

Bitte fügen Sie Ihrem Bericht Folgendes bei:

  • Eine Beschreibung der Schwachstelle
  • Schritte zur Reproduktion des Problems
  • Die möglichen Auswirkungen der Schwachstelle
  • Etwaigen Proof-of-Concept-Code, falls vorhanden

Was Sie erwarten können

  • Bestätigung: Wir werden den Eingang Ihres Berichts innerhalb von 3 Werktagen bestätigen.
  • Bewertung: Wir werden die gemeldete Schwachstelle untersuchen und validieren.
  • Updates: Wir werden Sie über unsere Fortschritte auf dem Laufenden halten.
  • Lösung: Wir streben an, kritische Schwachstellen so schnell wie möglich zu beheben.
  • Anerkennung: Mit Ihrer Erlaubnis werden wir Ihren Beitrag auf unserer Seite Sicherheitsanerkennungen würdigen.

Richtlinien

Wir bitten Sicherheitsforscher:

  • Alle Anstrengungen zu unternehmen, um Datenschutzverletzungen, Datenzerstörung und Dienstunterbrechungen zu vermeiden.
  • Nur mit Konten zu interagieren, die Sie besitzen, oder mit ausdrücklicher Genehmigung des Kontoinhabers.
  • Eine Schwachstelle nicht über das hinaus auszunutzen, was zum Nachweis erforderlich ist.
  • Schwachstellen umgehend zu melden und uns eine angemessene Zeit zur Behebung zu geben, bevor sie öffentlich gemacht werden.
  • Keine Social Engineering-, Phishing- oder physischen Angriffe gegen unser Personal oder unsere Infrastruktur durchzuführen.

Sicherer Hafen

Wir betrachten Sicherheitsforschung, die gemäß dieser Richtlinie durchgeführt wird, als:

  • Genehmigt gemäß den geltenden Anti-Hacking-Gesetzen.
  • Befreit von den DMCA-Beschränkungen zur Umgehung von Technologiekontrollen.

Wir werden keine rechtlichen Schritte gegen Forscher einleiten, die diese Richtlinie einhalten.

Ausschlüsse

Folgendes liegt nicht im Geltungsbereich:

  • Denial-of-Service-Angriffe
  • Social-Engineering-Angriffe
  • Physische Angriffe
  • Spam- oder Phishing-Kampagnen
  • Schwachstellen in Software oder Diensten Dritter, die nicht unter unserer Kontrolle stehen