Vulnerability Disclosure

Responsible-Disclosure-Policy.

Sicherheitsproblem in QR Vello entdeckt? Schön, dass du hinschaust. Diese Seite erklärt, wie du es meldest, was im Scope liegt und womit du von uns rechnen kannst.

Zuletzt geprüft · 2026-05-19

Unser Versprechen an Forscher:innen

Sicherheitsforschende, die in gutem Glauben nach dieser Policy handeln, müssen keine rechtlichen Schritte von QR Vello fürchten. Wir behandeln jeden Report als ernsthaftes technisches Signal und antworten auf jede Meldung. Wir halten dich über Untersuchung, Fix und — wo sinnvoll — koordinierte Offenlegung auf dem Laufenden.

Im Scope

qr-vello.com — die Hauptseite und alle Subdomains
Die öffentliche REST-API unter qr-vello.com/api/*
Authentifizierungs-Flows (Sign-in, Sign-up, OAuth, Passwort-Reset, 2FA)
QR-Code-Redirect-Endpoints und die Short-Link-Infrastruktur
Das Admin-Dashboard und der Kunden-Self-Service-Bereich

Außerhalb des Scope

Drittanbieter-Services, auf die wir uns stützen (Stripe, S3, Payment-Provider, Font-CDNs)
Denial-of-Service, Distributed Denial-of-Service oder volumetrisches Flooding
Social Engineering gegen QR-Vello-Mitarbeitende, Kund:innen oder Partner
Physische Angriffe gegen Büros, Rechenzentren oder Hardware
Spam, Content-Injection oder Angriffe, die andere Nutzer:innen ohne deren Zustimmung beeinträchtigen
Reports, die nur auf fehlende Security-Header zielen, ohne demonstrierbaren Impact
Automatisierte Scanner-Ausgaben ohne funktionierenden Proof-of-Concept

Wie du meldest

E-Mail an die unten genannte Adresse. Verschlüsselung schätzen wir, aber sie ist nicht Pflicht — ein fehlender Key soll deinen Report nicht aufhalten.

Reports bitte an

[email protected]

E-Mail schreiben

Bitte gib in deinem Report an:

Schwachstellen-Klasse (z. B. IDOR, Stored XSS, SSRF, Auth-Bypass)
Betroffene URL oder API-Endpoint
Schritt-für-Schritt-Reproduktion mit Screenshots oder minimalem Proof-of-Concept
Realistische Impact-Einschätzung — was eine Angreiferin tatsächlich tun könnte
Bevorzugter Name oder Handle für die Credits (optional)

PGP-KeyAuf Anfrage verfügbar — frag einfach in der ersten E-Mail, wir senden den Fingerprint zurück.

Wichtige Grenzen

Niemals auf Daten anderer Nutzer:innen zugreifen, sie verändern oder löschen
Tests beenden, sobald eine Schwachstelle bestätigt ist — keine Massen-Exfiltration
Den Betrieb für andere Kund:innen nicht stören
Uns ein angemessenes Zeitfenster für den Fix lassen, bevor du etwas veröffentlichst

Severity-Stufen

Wir nutzen eine vierstufige Skala, lose an CVSS v3.1 angelehnt. Hier siehst du, wie wir Reports typischerweise einordnen — die finale Bewertung liegt bei unserem Security-Review.

Kritisch
Pre-Auth-RCE, vollständige Account-Übernahme, Massen-PII-Exfiltration, kaputte Auth auf Payment-Endpoints.
Fix in 7 Tagen. Notfall-Patch-Pfad.
Hoch
Auth-Bypass, vertikale Privilege-Escalation, SSRF in interne Services, Stored XSS mit Session-Diebstahl.
Fix in 30 Tagen.
Mittel
IDOR mit begrenztem Blast-Radius, Reflected XSS, CSRF auf nicht-kritischen Aktionen, Info-Disclosure.
Fix in 60 Tagen.
Niedrig
Self-XSS, fehlende Best-Practice-Header ohne Exploit-Pfad, kleinere Info-Leaks.
Wird getrackt. Fix mit dem nächsten Release-Fenster gebündelt.

Was du von uns erwarten kannst

Erstantwort
Innerhalb von 3 Werktagen nach Eingang.
Triage & Severity-Einschätzung
Innerhalb von 10 Werktagen. Du erfährst, ob wir den Report annehmen, als Duplikat einstufen oder als Out-of-Scope behandeln.
Fix-Zielzeit
Kritische und hohe Severity innerhalb von 30 Tagen. Mittel und niedrig innerhalb von 90 Tagen. Echte Zero-Days in Stunden.
Koordinierte Offenlegung
Wir versuchen, Fix und kurzen Advisory gemeinsam zu veröffentlichen. Standard-Embargo: 90 Tage ab Erst-Report; länger nur in gegenseitiger Absprache.

Anerkennung

Wir betreiben aktuell kein bezahltes Bug-Bounty-Programm — wir wollen erst Vertrauen aufbauen, bevor wir Geld auf den Tisch legen, und ein junges Programm zieht mehr Rauschen als Signal an. Wir nennen aber jede:n Forscher:in, deren Report zu einem Fix führt, in unserer öffentlichen Hall of Fame — mit Name oder Handle nach Wunsch — und schreiben gerne eine Empfehlung oder LinkedIn-Note für ernsthafte Findings.

Hall of Fame

Noch keine Reports gewürdigt. Sei die Erste — melde verantwortungsvoll, und wir listen dich hier mit deinem Wunsch-Credit.

Credits werden eingetragen, sobald ein Fix ausgeliefert ist, mit Einverständnis der Forscher:in. Anonymer Credit auf Wunsch möglich.

RFC 9116 · disclose.io

Safe Harbour

Solange du in gutem Glauben nach dieser Policy handelst — im Scope bleibst, andere Nutzer:innen nicht beeinträchtigst, keine Daten exfiltrierst und uns ein angemessenes Disclosure-Fenster lässt — werden wir keine rechtlichen Schritte gegen dich einleiten, keine Strafverfolgungsbehörden gegen dich beauftragen und deine Aktivität als autorisiert im Sinne von § 202c StGB und vergleichbarer internationaler Vorschriften betrachten. Sollte eine dritte Partei wegen einer Aktivität, die mit dieser Policy konform war, gegen dich vorgehen, werden wir öffentlich machen, dass die Aktivität autorisiert war.