Vaulted

Bug-Bounty & verantwortungsvolle Offenlegung

Wir begrüßen kritische Prüfung. Finde ein echtes Sicherheitsproblem und erhalte öffentliche Anerkennung sowie einen permanenten Hall-of-Fame-Eintrag.

Richtlinie zuletzt aktualisiert 2026-04-27 · Maxim Novak

Das ehrliche Angebot

Vaulted ist ein unabhängig entwickeltes, kostenloses Tool. Wir zahlen noch keine Geldprämien — das zu behaupten wäre irreführend. Stattdessen erhalten gültige Meldungen eine schnelle Bestätigung, öffentliche Anerkennung auf dieser Seite, eine CVE-Zuweisung wenn zutreffend und unseren aufrichtigen Dank. Wenn du auf bezahlte Prämien aus bist, ist das nicht der richtige Ort für dich. Wenn dir wichtig ist, dass Ende-zu-Ende-verschlüsselte Tools das halten, was sie versprechen, dann schau genau hin.

Was du für eine gültige Meldung bekommst

  • Bestätigung innerhalb von 48 Stunden. Echte Person, echte Antwort.
  • Permanenter Hall-of-Fame-Eintrag auf dieser Seite mit deinem Namen (oder Handle), dem Datum und einer kurzen Beschreibung des Problems nach Behebung und Offenlegung.
  • CVE-Koordination wenn der Fund das rechtfertigt — wir arbeiten mit dir bei Reservierung und Veröffentlichungszeitpunkt zusammen.
  • Koordinierte Offenlegung nach einem Zeitplan, der für dich funktioniert. Wir beheben zuerst, dann veröffentlichen wir die Details mit Namensnennung.
  • Eine aufrichtige Dankesnachricht von einer echten Person. Falls Geldprämien später verfügbar werden, werden rückwirkende Zahlungen an frühere Forscher fair in Betracht gezogen.

Im Scope

Kryptografische Implementierung

Jeder Fehler in der clientseitigen AES-256-GCM-Implementierung, Schlüsselerzeugung, IV-Wiederverwendung, URL-Fragment-Behandlung oder Passphrasen-Wrapping. Die Kryptografie ist das Produkt — Fehler hier haben die höchste Priorität.

Authentifizierungs- / Autorisierungs-Bypass

Geheimnisse ohne korrekte ID und Schlüssel lesen oder verändern. Ansichtslimits, Ablaufzeiten oder Passphrasen-Abfragen umgehen.

Datenexposition

Serverseitiges Durchsickern von Klartext, Schlüsseln, IVs an unerwarteten Stellen, Geheimtext, Ansichtszählern, IP-Adressen oder anderen Daten, die nicht beobachtbar sein sollten.

Serverseitige Schwachstellen

Fehler in API-Route-Handlern, Rate-Limit-Bypass, Injection, Deserialisierungsprobleme, SSRF, serverseitiges Request Smuggling.

Infrastruktur-Fehlkonfiguration

Alles im Produktions-Deployment von vaulted.fyi, das Daten exponiert oder das Sicherheitsmodell untergräbt.

Supply-Chain-Integrität

Kompromittierte oder manipulierte Build-Artefakte, fehlendes SRI wo es wichtig ist, Dependency-Confusion-Angriffe gegen unsere veröffentlichten npm-Pakete.

Außerhalb des Scope

Volumetrische Angriffe oder Denial-of-Service

Versuche nicht, die Seite zum Absturz zu bringen. Rate-Limit-Bypass-Fehler sind im Scope; Flooding nicht.

Spam / Missbrauch der Geheimniserstellung

Das Erstellen großer Mengen an Geheimnissen ist keine Schwachstelle.

Social Engineering

Von Mitarbeitern, Mitwirkenden oder Nutzern. Das Phishing des Sicherheits-Postfachs zählt nicht.

Schwachstellen in Drittanbieter-Diensten

Probleme in Vercel, Upstash, Cloudflare usw. sollten direkt beim Anbieter gemeldet werden. Wir koordinieren gerne, wenn das Problem Vaulted direkt betrifft.

Probleme, die einen kompromittierten Endpunkt erfordern

Ein kompromittierter Browser, eine bösartige Erweiterung oder ein Keylogger auf dem Gerät des Nutzers ist in unserem Bedrohungsmodell berücksichtigt — siehe Bedrohungsmodell. Das sind keine Schwachstellen in Vaulted.

Best-Practice-Funde ohne Auswirkung

„Header X fehlt“ oder „Cookie-Attribut Y“ ohne nachgewiesene Sicherheitsauswirkung. Sag es uns trotzdem — wir beheben es vielleicht — aber das qualifiziert nicht für den Hall of Fame.

Teilnahmebedingungen

  • Teste nur mit Geheimnissen, die du selbst erstellt hast. Greife nicht auf Daten anderer Nutzer zu und versuche es auch nicht.
  • Stoppe und melde beim ersten Anzeichen einer Schwachstelle. Führe keine Pivot-, Exfiltrations-, Persistenz- oder Eskalationsaktionen durch.
  • Veröffentliche keine Details, bis wir eine angemessene Gelegenheit zur Behebung hatten — typischerweise 90 Tage, aber wir streben Schnelleres an.
  • Automatisches Scanning ist innerhalb vernünftiger Rate-Limits in Ordnung. Wenn dein Tool erheblichen Traffic erzeugt, drossle es.
  • Tests gegen Produktion auf eigenes Risiko. Wir werden keine Maßnahmen gegen gutgläubige Forschung ergreifen, die diese Regeln befolgt.

Prozess & Zeitrahmen

  1. Du meldest über [email protected]. Verschlüsselte E-Mail ist willkommen.
  2. Wir bestätigen innerhalb von 48 Stunden und vergeben eine Tracking-Referenz.
  3. Triage innerhalb von 5 Tagen — wir bestätigen, ob der Fund im Scope und reproduzierbar ist.
  4. Behebung & Deploy nach einem Zeitplan proportional zur Schwere (Stunden für Kritisches, Tage für Hohes, Wochen für Niedrigeres).
  5. Koordinierte Offenlegung mit Namensnennung für dich sowie Hall-of-Fame-Eintrag.

Hall of Fame

  • Esrak Fardin Ratul (zer0rat)

    View-limit race condition (TOCTOU): a maxViews=1 secret could be read more than once under concurrent requests. Fixed by making the view-limit claim atomic.

Bereit zur Meldung oder hast du eine Frage?

[email protected]

Sieh auch: Bedrohungsmodell · Vaulted selbst überprüfen · security.txt