$ cat /etc/internalhost/responsible-disclosure

Responsible Disclosure

Version 1.0 · Zuletzt aktualisiert: 2026-05-19 · maschinenlesbar: /.well-known/security.txt

Bug, Schwachstelle oder Missbrauch gefunden? Sag Bescheid. Wir schätzen Responsible Disclosure und antworten innerhalb von 48 Stunden — meistens schneller.

Wie melden

  • E-Mail: [email protected] — bevorzugt für schriftliche Berichte mit reproduzierbarem PoC.
  • Signal: Link im Footer. Für Echtzeit-Triage oder bei aktiver Ausnutzung.
  • PGP: noch nicht veröffentlicht. Kommt, sobald wir tatsächlich sensible Berichte bekommen.

In deinem Bericht bitte mindestens: Schritte zur Reproduktion, Impact-Einschätzung, betroffene URL/Hostname, deine Kontaktdaten für Rückfragen.

In Scope

  • Produktions-Infrastruktur: *.internalhost.eu und alles, was über AS204729 geroutet wird ().
  • Kundenportal: diese Website (Paymenter).
  • Mail-Infrastruktur: mail.internalhost.eu, mx2.internalhost.eu.
  • Unser öffentlicher Quellcode auf github.com/internalhost-eu.

Out of Scope

  • Kundenserver (VPS / Dedicated / Colocation): die gehören unseren Kunden. Keine Tests ohne schriftliche Erlaubnis des Eigentümers. Wir behalten uns vor, unbefugte Untersuchungen auf Kunden-IPs der Polizei zu melden.
  • Denial-of-Service und volumetrische Angriffe.
  • Spam, Phishing, Social Engineering unserer Mitarbeiter oder Kunden.
  • Theoretische Issues ohne funktionierenden Proof of Concept.
  • Automatische Scanner-Funde ohne manuelle Verifizierung („dein SSL scort kein A+ bei Qualys" ist keine Schwachstelle).
  • Upstream-Issues in Open-Source-Projekten (Laravel, Filament, Paymenter, CloudPanel etc.) — bitte direkt dort melden.

Was wir zusagen

  • Wir antworten innerhalb von 48 Stunden, meistens innerhalb von 8 Geschäftsstunden.
  • Wir untersuchen ernsthaft und halten dich über Fortschritte auf dem Laufenden.
  • Wir gehen rechtlich nicht gegen Forscher vor, die in gutem Glauben und nach dieser Policy handeln.
  • Bestätigte Issues bekommen einen Hall-of-Fame-Eintrag (wenn du willst) und ein persönliches Signal-Danke von Nick.
  • Wir patchen Schwachstellen vor öffentlicher Offenlegung. Standard-Disclosure-Fenster: 90 Tage nach Bestätigung, kürzer bei aktiver Ausnutzung.

Was wir nicht bieten

Kein Bug-Bounty-Programm mit Cash-Prämien. Wir sind ein kleines Team. Was du stattdessen bekommst:

  • Öffentliche Nennung auf dieser Seite (oder anonym, du entscheidest).
  • InternalHost-Merch (sobald wir welchen haben).
  • Ein Gespräch über den Bug selbst, nicht über manager-getriebene Prioritäten.

Hall of Fame

Forscher, die uns geholfen haben. Danke.

Noch leer — sei der Erste.