Zum Inhalt springen
Impulio

Sicherheit

Richtlinie zur verantwortungsvollen Offenlegung

So melden Sie Sicherheitslücken bei Impulio verantwortungsvoll.

1. Unser Versprechen

Die Sicherheit unserer Nutzer und ihrer Daten hat bei Impulio höchste Priorität. Wir schätzen die Arbeit von Sicherheitsforschenden und behandeln jede verantwortungsvolle Meldung als Partnerschaft. Diese Richtlinie beschreibt, wie Sie eine Schwachstelle melden, was wir im Gegenzug tun und in welchem Rahmen wir Sie um Tests bitten.

2. So melden Sie eine Schwachstelle

Bitte melden Sie vermutete Schwachstellen vertraulich per E-Mail:

E-Mail: kontakt@impulio.app

Bitte verwenden Sie den Betreff „Security Vulnerability Report“, damit wir Ihre Nachricht korrekt zuordnen können.

Was Ihre Meldung enthalten sollte

Damit wir das Problem schnell reproduzieren und bewerten können, geben Sie bitte an:

  • Eine klare Beschreibung der Schwachstelle und ihrer möglichen Auswirkungen
  • Schritt-für-Schritt-Anleitung zur Reproduktion (URLs, Parameter, Payloads)
  • Proof-of-Concept-Code, Screenshots oder Videos, sofern zutreffend
  • Die betroffene Komponente, Umgebung und ggf. verwendete Konto-Kennungen
  • Einen Lösungsvorschlag, falls Sie einen haben
  • Wie Sie genannt werden möchten (oder ob Sie anonym bleiben möchten)

Die vollständigen maschinenlesbaren Kontaktinformationen finden Sie in unserer security.txt-Datei gemäß RFC 9116.

3. Was Sie von uns erwarten können

Wir bemühen uns, jede Meldung schnell und respektvoll zu bearbeiten. Konkret sagen wir Ihnen zu:

  • Eingangsbestätigung innerhalb von 2 Werktagen nach Erhalt Ihrer Meldung.
  • Eine erste Bewertung innerhalb von 7 Kalendertagen inklusive der Information, ob wir das Problem reproduzieren können und wie wir die Schwere einstufen.
  • Regelmäßige Status-Updates während wir an einer Behebung arbeiten, mindestens alle 14 Tage.
  • Ehrliche Kommunikation auch bei Problemen, die wir nicht beheben werden, inklusive Begründung.
  • Benachrichtigung nach Behebung damit Sie die Behebung verifizieren können.

Impulio wird von einem kleinen, inhabergeführten Team betrieben. Wir betreiben kein bezahltes Bug-Bounty-Programm. Wir bieten jedoch öffentliche Anerkennung (siehe unten) und bemühen uns, ein fairer Partner zu sein.

4. Safe Harbor (Schutzzusage)

Wir werden keine rechtlichen Schritte gegen Sicherheitsforschende einleiten oder unterstützen, wenn diese:

  • sich nach bestem Wissen an diese Richtlinie halten,
  • Datenschutzverletzungen, Datenzerstörung, Dienstunterbrechungen oder Beeinträchtigungen unserer Dienste vermeiden,
  • nur mit Konten interagieren, die sie selbst besitzen oder für die sie die ausdrückliche Erlaubnis des Inhabers haben,
  • nicht mehr Daten extrahieren als zur Demonstration der Schwachstelle nötig und Testdaten anschließend sicher löschen,
  • uns vor einer Veröffentlichung angemessene Zeit zur Untersuchung und Behebung geben.

Wenn Sie unsicher sind, ob ein geplanter Test zulässig ist, kontaktieren Sie uns vorab über die oben genannte E-Mail-Adresse. Wir beantworten eine Frage lieber vorab als ein Missverständnis im Nachhinein klären zu müssen.

Diese Schutzzusage berührt keine Rechte Dritter. Sofern Ihre Forschung Infrastruktur oder Dienste betrifft, die nicht uns gehören (z. B. Zahlungsdienstleister, soziale Netzwerke, Hosting-Anbieter), gelten deren eigene Bedingungen; dort können wir keine Zusage geben.

5. Geltungsbereich

Die folgenden Assets fallen unter den Geltungsbereich dieser Richtlinie:

  • impulio.app (Marketing-Seite und Web-Anwendung)
  • api.impulio.app (REST-API-Backend)
  • impul.io (Link-in-Bio-Seiten)

Schwachstellen, an denen wir besonders interessiert sind:

  • Schwachstellen in Authentifizierung und Session-Management
  • Autorisierungs-Umgehungen, Privilegien-Eskalation, IDORs
  • Serverseitige Schwachstellen (RCE, SQLi, SSRF, Deserialisierung)
  • Stored XSS, CSRF bei sensiblen Aktionen
  • Offenlegung sensibler Daten oder unsichere direkte Objektreferenzen
  • OAuth- oder Social-Account-Verknüpfungs-Schwachstellen in unseren Integrationen

6. Nicht im Geltungsbereich

Die folgenden Punkte sind ausdrücklich ausgeschlossen und sollten nicht getestet werden:

  • Denial-of-Service (DoS / DDoS), Traffic-Flooding, Ressourcenerschöpfungs-Angriffe
  • Brute-Force-, Credential-Stuffing- oder Password-Spraying-Angriffe
  • Physische Angriffe, Social Engineering, Phishing gegen Mitarbeitende oder Nutzer
  • Schwachstellen in von uns genutzten Drittanbieter-Diensten (bitte direkt beim Anbieter melden)
  • Meldungen zu fehlenden Security-Headern, schwachen Cipher-Suiten oder anderem „Best Practice“-Scanner-Output ohne nachweisbaren Impact
  • Self-XSS, Clickjacking auf Seiten ohne sensible Aktionen, fehlende SPF/DMARC auf Nicht-Mail-Domains
  • Meldungen aus automatisierten Scannern ohne manuelle Verifikation oder reproduzierbaren Impact

7. Anerkennung

Mit Ihrer Erlaubnis nennen wir Sicherheitsforschende, die uns helfen, unsere Sicherheit zu verbessern, gerne öffentlich in einer Hall of Fame auf dieser Seite. Teilen Sie uns in Ihrer Meldung mit, wie Sie genannt werden möchten (Klarname, Handle oder anonym).

Fragen zu dieser Richtlinie?

Für nicht-sicherheitsbezogene Fragen zu Impulio nutzen Sie bitte unser Kontaktformular. Für Datenschutz-Fragen sehen Sie unsere Datenschutzerklärung.