Richtlinie zur Offenlegung von Schwachstellen — ScamLens
Zuletzt aktualisiert: 2026-04-16
Geltungsbereich
Diese Richtlinie deckt Sicherheitsforschung an folgenden Assets ab:
*.scamlens.org- ScamLens Chrome-Erweiterung (Chrome Web Store ID: OrangeDuck)
- Öffentliche ScamLens API (
api.scamlens.org)
Drittanbieterdienste (Stripe, Google Auth, Cloudflare, Brevo, Resend) sind nicht im Geltungsbereich — melden Sie diese direkt an die jeweiligen Anbieter.
Safe Harbor
Wir werden keine rechtlichen Schritte gegen Forschende einleiten, die:
- In gutem Glauben handeln und diese Richtlinie einhalten
- Keine Daten zugreifen, ändern oder exfiltrieren, die über das zum Nachweis der Schwachstelle Erforderliche hinausgehen
- Dienste nicht stören und die Benutzererfahrung nicht beeinträchtigen
- Zeitnah melden und bis zur Behebung Vertraulichkeit wahren
Nicht im Geltungsbereich
- Denial of Service / Lasttests gegen die Produktion
- Social Engineering von Mitarbeitenden oder Nutzern
- Physische Angriffe
- Berichte automatisierter Scanner ohne bestätigte Auswirkung
- Self-XSS und Clickjacking auf Seiten ohne sensiblen Zustand
- Fehlende Best-Practice-Header auf statischen Assets (wird bereits intern verfolgt)
Wie melden
Senden Sie eine E-Mail an security@scamlens.org mit:
- Titel und betroffenes Asset
- Schritte zur Reproduktion (klar, minimal)
- Impact-Analyse (was könnte ein Angreifer erreichen)
- Vorgeschlagene Behebung (optional)
Wir bestätigen innerhalb von 48 Stunden. Behebungsziele: Kritisch 7 Tage, Hoch 14 Tage, Mittel 30 Tage, Niedrig nach Aufwand.
Anerkennung
Validierte Berichte werden auf der Seite Sicherheits-Anerkennungen mit Ihrem bevorzugten Namen (oder auf Wunsch anonym) gewürdigt.