← Startseite

Responsible Disclosure

Stand: 21. April 2026

Wir nehmen Sicherheit ernst. Wenn du eine Sicherheitslücke in CheckYout findest, freuen wir uns über deine vertrauliche Meldung. Diese Seite beschreibt den Prozess und was du von uns erwarten kannst.

Kontakt

PGP-verschlüsselte Kommunikation kann auf Anfrage vereinbart werden.

Was wir versprechen

  • Antwort innerhalb von 72 Stunden nach Meldung (an Werktagen)
  • Status-Updates während der Bearbeitung
  • Kein rechtliches Vorgehen gegen Sicherheitsforschende, die sich in gutem Glauben an diese Policy halten
  • Auf Wunsch namentliche Erwähnung in einer öffentlichen Danksagungsliste, sobald wir eine haben

Was wir uns wünschen

  • Keine Tests gegen Konten, die nicht dir gehören
  • Keine automatisierten Scans gegen die Produktionsumgebung. Bitte lokal oder mit einem Test-Account testen; kontaktiere uns vorab bei grösserem Scan-Bedarf
  • Keine Datenexfiltration über das hinaus, was zum Nachweis der Schwachstelle nötig ist
  • Keine Denial-of-Service-Angriffe (Last- oder Protokollflut)
  • Mindestens 90 Tage Zeit zum Beheben, bevor Details öffentlich geteilt werden — bei kritischen Findings koordinieren wir die Offenlegung mit dir

In-Scope

  • checkyout.app und alle Subdomains
  • CheckYout-API (/api/**)
  • Mobile PWA
  • Webhook-Signaturen, Partner-API, OAuth-Flows zu PMS- und Smart-Home-Anbietern

Ausserhalb des Scopes

  • Self-XSS und Findings, die nur via Social Engineering funktionieren
  • Theoretische Angriffe ohne praktische Auswirkung
  • Findings in Drittanbieter-Services (Vercel, Supabase, Stripe, Twilio, Resend, Cloudflare) — bitte direkt beim jeweiligen Anbieter melden
  • Best-Practice-Empfehlungen ohne konkret ausnutzbare Schwachstelle
  • Versions-Disclosure-Findings ohne weiteres Ausnutzungs-Szenario
  • Missing Security-Header ohne nachweisbaren Angriffsvektor
  • E-Mail-Probleme ohne praktische Auswirkung (fehlendes DMARC auf Subdomain etc.)

Was du in deiner Meldung beifügen solltest

  • Beschreibung der Schwachstelle und der betroffenen URL/API
  • Schritte zur Reproduktion (idealerweise mit Proof-of-Concept, aber bitte kein voller Exploit)
  • Erwartete Auswirkung (was kann ein Angreifer damit tun?)
  • Falls relevant: Browser, OS, Versionen
  • Ob du in einer Danksagung namentlich erwähnt werden möchtest (und unter welchem Namen/Link)

Rechtliches

Für Sicherheitsforschung in gutem Glauben verzichten wir auf rechtliche Schritte nach dem schweizerischen StGB Art. 143bis/144bis, solange du:

  • dich an die oben genannten „Was wir uns wünschen"-Regeln hältst
  • keine Daten anderer Nutzer einsiehst, veränderst oder löschst
  • Findings erst nach Behebung oder nach 90 Tagen Koordination öffentlich machst

Diese Policy ist nicht verbindlich für Findings in offensichtlich bösartigem Kontext (Ransomware, Erpressung, kommerzielle Exploit-Verkauf).

Programm-Meta

Dies ist kein Bug-Bounty-Programm mit finanzieller Vergütung. Ein bezahltes Programm wird nach der ersten formalen Penetration-Testing-Runde evaluiert.

Maschinenlesbare Version der Kontakte: /.well-known/security.txt