Danke, dass du uns hilfst!
Melde eine Schwachstelle
Wenn dir etwas Ungewöhnliches auffällt, sag uns bitte Bescheid. Deine Meldung hilft uns, TheraPlanner für alle sicherer zu machen. Wir behandeln dich respektvoll, halten dich auf dem Laufenden und arbeiten pragmatisch an der Lösung.
Am schnellsten per E-Mail an [email protected]. Bitte nutze im Betreff „Security Report" + kurze Beschreibung
Im Notfall
Bei kritischen Sicherheitslücken
Betreff „URGENT“ + kurze Beschreibung; wir priorisieren sofort.
Was wir von dir brauchen
- Kurze Beschreibung der Schwachstelle und potenzieller Impact
- Reproduktionsschritte (Schritt für Schritt), möglichst minimal
- Betroffene URLs/Endpoints, Request-/Response-Beispiele, PoC (falls möglich)
- Screenshots/Logs (ohne Patientendaten – bitte maskieren)
- Deine Kontaktadresse für Rückfragen
- Optional: Vorschlag zur Behebung oder Risikoabschätzung
Beispiel
„Beim Aufruf von/api/export?file=…kann ich mit Parameter…auf fremde Dateien zugreifen. Getestet mit Testkonto…, reproduzierbar seit…. Erwartet: Zugriff verweigert. Tatsächlich: Datei wird geliefert.“
Wie es weiter geht
Wir bestätigen deine Meldung innerhalb von 3 Werktagen, reproduzieren und priorisieren sie, und beheben die Ursache so schnell wie möglich (kritische Themen zuerst). Die Offenlegung stimmen wir mit dir ab (Standard: bis zu 90 Tage, bei Bedarf schneller). Nach dem Fix sprechen wir mit dir über eine koordinierte Offenlegung.
Wir schätzen ein Responsible Disclosure – und bedanken uns gern namentlich in der Hall of Fame, wenn du einverstanden bist.
Fair Play
Bitte teste ausschließlich mit eigenen Testkonten, greife keine realen Patientendaten ab und vermeide Beeinträchtigungen des Betriebs (z. B. DoS/Lasttests). Nutze nur das notwendige Minimum, um den Befund zu zeigen. Sollten dir versehentlich sensible Daten begegnen, stoppe sofort, speichere oder teile nichts und melde dich umgehend bei uns. Die Einzelheiten findest du in unseren Responsible-Disclosure-Richtlinien.