Vielen Dank, dass Sie zur Sicherheit von easyKonto beitragen. Diese Seite beschreibt, wie Sie eine Schwachstelle bei uns melden – und was Sie von uns erwarten dürfen.
Wenn Sie eine Sicherheitslücke in einem unserer Dienste vermuten, freuen wir uns über eine verantwortungsvolle Meldung. Wir verfolgen einen Coordinated-Vulnerability-Disclosure-Ansatz (CVD) und folgen den Anforderungen aus Artikel 13(5) des EU Cyber Resilience Act (CRA) für einen öffentlich auffindbaren Single Point of Contact.
Kontakt für Sicherheitsmeldungen
Sensible Meldungen können Sie mit unserem PGP-Schlüssel verschlüsseln.
Maschinenlesbare Kontaktdaten finden Sie unter /.well-known/security.txt gemäß RFC 9116.
Schreiben Sie an security@easykonto.de. Bitte beschreiben Sie die betroffene Komponente, eine reproduzierbare Schritt-für-Schritt-Anleitung sowie die aus Ihrer Sicht resultierende Auswirkung.
Wir bestätigen den Eingang Ihrer Meldung innerhalb von fünf Werktagen und benennen einen festen Ansprechpartner für die weitere Kommunikation.
Wir analysieren die Schwachstelle, halten Sie über den Fortschritt auf dem Laufenden und arbeiten in der Regel innerhalb von 90 Tagen auf eine Behebung hin. Bei aktiv ausgenutzten Schwachstellen handeln wir entsprechend schneller.
Details zur Schwachstelle werden erst nach Bereitstellung eines Patches veröffentlicht. Auf Wunsch nennen wir Sie in der Veröffentlichung.
easyKonto betreibt aktuell kein monetäres Bug-Bounty-Programm. Wir danken Ihnen aber ausdrücklich und nennen Sie auf Wunsch in der Veröffentlichung.
Diese Policy gilt für die Marketing-Website, das Kundenportal mit Bestellstrecke und die Cloud-API zur Bankdatenprüfung. Sie gilt außerdem für die Java-Bibliothek easyKonto Lokal samt dem Maven-Repository, über das sie ausgeliefert wird.
Für Schwachstellen in Drittanbieter-Komponenten, die wir einsetzen, leiten wir die Meldung nach interner Prüfung an den jeweiligen Hersteller weiter.