Bei Hapio, einer Anwendung, die einem weltweiten Publikum zugänglich ist, erhalten wir jede Woche mehrere Berichte von verschiedenen Sicherheitsforschern. Viele dieser Berichte weisen auf ähnliche Probleme hin, und obwohl wir kein offizielles Bounty-Programm haben, erwarten einige Forscher gelegentlich eine Entschädigung, nur weil sie sich an uns wenden.

Wir nehmen alle Sicherheitsmeldungen ernst und sorgen dafür, dass jede Meldung gründlich geprüft wird. Als relativ neuer Akteur auf der globalen Bühne müssen wir jedoch die Realität endlicher Ressourcen anerkennen. Jede Stunde, die wir mit der Bearbeitung von Sicherheitsmeldungen verbringen, ist eine Stunde, die wir nicht in die Verbesserung der Hapio-Plattform für unsere Nutzer investieren. Vor diesem Hintergrund haben wir beschlossen, unsere Vorgehensweise bei der Bearbeitung von Sicherheitsbedenken zu überarbeiten.

Ab Dezember 2024 werden wir eine klarere Unterscheidung zwischen Berichten über unsere Domains treffen. Die Gründe für diese Entscheidung liegen auf der Hand: Die hapio.io-Website funktioniert unabhängig von der Technologie, die hinter der hapio.app- und hapio.net-Plattform steht. Wir wissen zwar, wie wichtig es ist, die hapio.io-Website vor potenziellen Bedrohungen wie Hacking, Defacement oder Spoofing zu schützen, aber unser Hauptaugenmerk wird immer darauf liegen, die Sicherheit und Zuverlässigkeit des Hapio.app-Portals und der Hapio.net-Buchungs-API zu gewährleisten, die unseren geschätzten Kunden dienen.

Hapio.io berichtet

Meldungen, die sich auf die Domäne hapio.io und die damit verbundene Technologie beziehen, werden mit niedriger Priorität eingestuft. Diese Einsendungen werden zwar geprüft, es kann jedoch zu Verzögerungen bei der Bearbeitung kommen. Bitte beachten Sie, dass es für hapio.io-Berichte keine Geldprämien gibt, da die meisten Ergebnisse nicht kritisch sind, wenn sie im richtigen Kontext bewertet werden.

Wir ermutigen die Forscher, sich auf die wichtigsten Schwachstellen zu konzentrieren und nicht nur auf die Ergebnisse automatischer Tools wie Snyk, OpenVAS oder Nikto, die oft Probleme aufzeigen, die zwar bemerkenswert sind, aber keine ernsthaften Bedrohungen darstellen.

Wir sind nach wie vor bestrebt, die Sicherheit unserer öffentlich zugänglichen Website aufrechtzuerhalten und schätzen die Bemühungen der Forscher, die zu ihrer Sicherheit beitragen.

Hapio.app und Hapio.net Berichte

Meldungen, die die Domains hapio.app und hapio.net sowie die Technologie, die diese Plattform unterstützt, betreffen, werden mit höchster Priorität behandelt und umgehend geprüft.

• Validierung erwünscht:
  Um die Chancen auf Anerkennung zu maximieren, empfehlen wir, die kostenlose Version von Hapio zu verwenden, um zu bestätigen, dass das Problem reproduzierbar ist und die Kriterien für eine Sicherheitslücke erfüllt, bevor Sie Ihren Bericht einreichen.
• Keine Geldprämien:
  Zurzeit bieten wir keine Geldprämien an.

Anerkennung und Vertrauen

Wir wissen, dass Vertrauen ein wesentlicher Bestandteil der Beziehung zwischen Forscher und Unternehmen ist. Um eine faire Bewertung zu gewährleisten, arbeiten wir mit einem unabhängigen Experten zusammen, um den Schweregrad der Schwachstellen zu bewerten und den angemessenen Schweregrad des Berichts zu bestimmen. Auf diese Weise können wir Transparenz und Glaubwürdigkeit aufrechterhalten.

Wir erkennen die Bemühungen von Forschern durch nicht-monetäre Anreize an, wie z. B. die Aufnahme in unsere Hall of Fame für bedeutende Veröffentlichungen. Wir können zwar keine finanziellen Belohnungen für die Einreichung von Beiträgen garantieren, aber wir sind bestrebt, Beiträge zu würdigen, die zur Sicherheit unserer Systeme beitragen.

Leitlinien für die Einreichung

Um das Verfahren zu straffen und rechtzeitige Antworten zu gewährleisten, müssen alle Sicherheitsinformationen an folgende Adresse übermittelt werden support@hapio.io. Meldungen, die über andere Kanäle gesendet werden - wie Formulare des Kundensupports, Chats des technischen Supports, soziale Medien, GitHub oder Produktentdeckungskanäle - werden nicht bearbeitet und können als Spam gekennzeichnet werden.

• Erwartete Fristen:
  Wir bemühen uns, eine erste Bewertung innerhalb von 5 Arbeitstagen vorzunehmen, und Einreichungen, die als Berichte mit hoher Priorität eingestuft werden, erhalten innerhalb von 72 Stunden nach der Bewertung eine Bestätigung. Der Zeitrahmen kann nicht garantiert werden und kann sich je nach den tatsächlichen Ereignissen und der Arbeitsbelastung verschieben.
• Einreichungsformat:
  Bitte geben Sie detaillierte Schritte zur Reproduktion des Problems, Beweise für die Schwachstelle und die möglichen Auswirkungen an. Diese Informationen helfen uns, Ihre Meldung effizient zu bearbeiten und erhöhen die Wahrscheinlichkeit einer Anerkennung.
• Künstliche Intelligenz:
  Wenn Ihr Bericht mit Hilfe von Tools der künstlichen Intelligenz (z. B. ChatGPT, Claude, CoPilot, Perplexity) erstellt oder unterstützt wurde, geben Sie dies bitte an und geben Sie an, in welchem Umfang KI verwendet wurde. Beachten Sie, dass KI-Tools manchmal ungenaue oder nicht existierende Schwachstellen erzeugen können. Um die Qualität und Genauigkeit der Einsendungen zu gewährleisten, verzichten Sie bitte nach Möglichkeit auf die Verwendung von KI-generierten Inhalten, da wir nicht über die Ressourcen verfügen, um KI-generierte Einsendungen von geringer Qualität zu überprüfen.