Sicherheitsrichtlinie
Zuletzt aktualisiert: 2026-05-13
Wir nehmen Sicherheit ernst. Diese Richtlinie legt fest, wie eine Schwachstelle gemeldet wird, was wir versprechen und was im Umfang enthalten ist. Die kanonischen Metadaten für Sicherheitsforscher befinden sich auch unter /.well-known/security.txt (RFC 9116).
1. So melden Sie eine Schwachstelle
Senden Sie eine E-Mail an [email protected] - PGP-Schlüssel auf Anfrage - oder eröffnen Sie einen privaten Bericht unter https://hackerone.com/elido. Beide Wege erreichen dieselbe On-Call-Warteschlange. Bitte geben Sie Reproduktionsschritte, die betroffene URL bzw. den Endpunkt und die von Ihnen beobachteten Auswirkungen an. Veröffentlichen Sie keine Details, bevor wir eine Behebung koordiniert haben.
2. Reaktions-SLA
Erste Antwort: innerhalb von 24 Stunden. Einstufung mit Schweregrad-Bewertung: innerhalb von 5 Werktagen. Ziel für die Behebung: 14 Tage für High/Critical, 30 Tage für Medium/Low. Wenn eine Behebung länger dauert (z. B. Warten auf Abhängigkeiten von Drittanbietern), halten wir Sie wöchentlich auf dem Laufenden.
3. Im Umfang enthalten
elido.app (Marketing), app.elido.app (Dashboard), api.elido.app (REST + GraphQL), elido.me / f.elido.me / s.elido.me / b.elido.me (Weiterleitungs-Tiers), docs.elido.app, die Elido iOS- und Android-Apps, die elidoapp/elido-* npm-Pakete und der Elido MCP-Server (packages/mcp-server).
4. Nicht im Umfang enthalten
Von uns genutzte Drittanbieter-Dienste (unsere Authentifizierungs- und Identitätsebene, unser Support-Chat-Anbieter, Cloudflare, Anthropic, monobank Plata, Coinbase Commerce, WorkOS, Resend) - bitte melden Sie diese direkt dort. Brute-Force-Angriffe auf ratenbegrenzte Endpunkte (diese testen wir selbst). Social Engineering von Elido-Mitarbeitern. Volumetrische / DoS-Angriffe. Erkenntnisse, die darauf basieren, dass das Opfer bösartige Software außerhalb von Elido installiert. Offene Weiterleitungen über den Kurzlink selbst - das ist der Dienst.
5. Safe Harbor
Wenn Sie sich nach bestem Wissen und Gewissen bemühen, diese Richtlinie einzuhalten, werden wir keine rechtlichen Schritte einleiten und mit Ihnen zusammenarbeiten, um das Problem zu verstehen und zu beheben. Konkret: Tests gegen Konten, die Sie besitzen, kein Exfiltrieren von Produktionsdaten, keine Beeinträchtigung anderer Kunden und keine öffentliche Offenlegung, bevor wir eine Behebung veröffentlicht haben.
6. Belohnungen
Elido betreibt ein bezahltes Bug-Bounty-Programm auf HackerOne. Ungefähre Belohnungen (USD): Critical $3000, High $1500, Medium $500, Low $200, Trivial $50 Swag-Äquivalent. Der endgültige Betrag hängt von den Auswirkungen, der Neuartigkeit und der Qualität des Berichts ab. Mit Ihrem Einverständnis listen wir auch unbezahlte, gültige Offenlegungen unter /legal/security-acknowledgments auf.
7. Danksagungen
Wir danken Forschern, die uns helfen, öffentlich unter /legal/security-acknowledgments - Handle oder echter Name nach Ihrer Wahl, und erst nachdem das Problem behoben wurde.