Responsible Disclosure

Hilf uns Omnika sicherer zu machen. Wir belohnen verantwortungsvolle Sicherheitsforscher.

Aktuell

Coordinated Disclosure ohne formelles Bug-Bounty-Programm

Faire Anerkennung für gemeldete kritische Findings.

V10-Plan

Public-Bounty-Programm mit gestaffelten Rewards

CVSS-basierte Tiers — Launch geplant für Q4 2026.

In-Scope

  • *.omnika.team Domains (hub.omnika.team, omnika-studio.com)
  • Public API (V10): /api/v1/*
  • Authentication / Authorization (Better-Auth)
  • E2EE-Implementation (Double-Ratchet, SignedPreKeys)
  • SQL-Injection, XSS, CSRF Vulnerabilities
  • Privilege-Escalation in RBAC

Out-of-Scope

  • Social-Engineering von Omnika-Mitarbeitern
  • Physical-Security der Hetzner-Datacenter
  • DDoS-Tests
  • Self-XSS (XSS gegen sich selbst)
  • Spam oder Brute-Force ohne Auth-Bypass
  • Findings die nur User-Selbst-Account betreffen
  • Best-Practice-Violations ohne tatsächliche Vulnerability (z.B. fehlende SPF-Records)

Reward-Tiers

  • Critical
    CVSS 9.0 – 10.0
    €500 – €2000
    + Hall-of-Fame + öffentliche Acknowledgement
  • High
    CVSS 7.0 – 8.9
    €200 – €500
    + Hall-of-Fame
  • Medium
    CVSS 4.0 – 6.9
    €50 – €200
    + Hall-of-Fame
  • Low
    CVSS 0.1 – 3.9
    Hall-of-Fame
    + persönliche Acknowledgement

Rewards sind aktuell case-by-case; mit V10-Programm-Launch werden Tiers formalisiert.

Disclosure-Process

  1. Sende Bericht
    an security@omnika.team (PGP-Key optional — Public-Key im Footer)
  2. Wir antworten
    innerhalb 48h Werktagen mit Empfangsbestätigung
  3. Wir verifizieren + fixen
    typischerweise 14-30 Tage je nach Severity
  4. Coordinated Public-Disclosure
    nach Fix-Deploy (mit dir abgestimmt)

What to include in your report

  • Vulnerability-Type (XSS, IDOR, etc.)
  • Steps-to-Reproduce
  • Impact-Assessment (was kann ein Angreifer erreichen?)
  • Proof-of-Concept (Screenshot oder Video)
  • Suggested-Remediation (optional)

Hall-of-Fame

Bisher veröffentlichte Mitwirkende: noch keine. Sei der Erste!

Hall-of-Fame mit allen verantwortungsvollen Sicherheits­forschern erscheint auf dieser Page nach erstem Public-Disclosure.

Contact

security@omnika.team
PGP-Key-Fingerprint
ABCD 1234 5678 EFGHPlaceholder, echter Key wird Q3 2026 publiziert
Response-SLA
48h Werktage

Allgemeine Sicherheits-Doku: /marketing/security