ScamLens

Richtlinie zur Offenlegung von Schwachstellen — ScamLens

Zuletzt aktualisiert: 2026-04-16

Geltungsbereich

Diese Richtlinie deckt Sicherheitsforschung an folgenden Assets ab:

  • *.scamlens.org
  • ScamLens Chrome-Erweiterung (Chrome Web Store ID: OrangeDuck)
  • Öffentliche ScamLens API (api.scamlens.org)

Drittanbieterdienste (Stripe, Google Auth, Cloudflare, Brevo, Resend) sind nicht im Geltungsbereich — melden Sie diese direkt an die jeweiligen Anbieter.

Safe Harbor

Wir werden keine rechtlichen Schritte gegen Forschende einleiten, die:

  • In gutem Glauben handeln und diese Richtlinie einhalten
  • Keine Daten zugreifen, ändern oder exfiltrieren, die über das zum Nachweis der Schwachstelle Erforderliche hinausgehen
  • Dienste nicht stören und die Benutzererfahrung nicht beeinträchtigen
  • Zeitnah melden und bis zur Behebung Vertraulichkeit wahren

Nicht im Geltungsbereich

  • Denial of Service / Lasttests gegen die Produktion
  • Social Engineering von Mitarbeitenden oder Nutzern
  • Physische Angriffe
  • Berichte automatisierter Scanner ohne bestätigte Auswirkung
  • Self-XSS und Clickjacking auf Seiten ohne sensiblen Zustand
  • Fehlende Best-Practice-Header auf statischen Assets (wird bereits intern verfolgt)

Wie melden

Senden Sie eine E-Mail an [email protected] mit:

  1. Titel und betroffenes Asset
  2. Schritte zur Reproduktion (klar, minimal)
  3. Impact-Analyse (was könnte ein Angreifer erreichen)
  4. Vorgeschlagene Behebung (optional)

Wir bestätigen innerhalb von 48 Stunden. Behebungsziele: Kritisch 7 Tage, Hoch 14 Tage, Mittel 30 Tage, Niedrig nach Aufwand.

Anerkennung

Validierte Berichte werden auf der Seite Sicherheits-Anerkennungen mit Ihrem bevorzugten Namen (oder auf Wunsch anonym) gewürdigt.