Verantwortungsvolle Offenlegung / Richtlinie zur Offenlegung von Schwachstellen

Bug Bounty Programm – Vorübergehend geschlossen

Mit Wirkung vom 23. Oktober 2025 wird unser öffentliches Bug Bounty Programm aufgrund der überwältigenden Nachfrage und einer großen Anzahl von automatisierten/Scanner-Meldungen vorübergehend geschlossen. Sie können weiterhin Sicherheitsberichte einreichen, aber diese werden nur als Information behandelt und können nicht ausgezahlt werden, solange das Programm pausiert. Wenn Sie der Meinung sind, dass Sie ein verifiziertes, dringendes Problem haben, das die Möglichkeit des Zugriffs auf oder der Exfiltration von privaten Benutzerdaten belegt, senden Sie uns bitte eine E-Mail an security@gowinston.ai.

Zweck

Die Priorität von Winston AI ist der Schutz der Benutzerdaten. Wir veranstalten kein Werbe-Bug-Bounty-Programm. Diese Seite erklärt den engen, verantwortungsvollen Prozess für die Meldung echter, relevanter Sicherheitsprobleme.

Umfang (in-scope)

  • app.gowinston.ai (Produktions-App)
  • dev.gowinston.ai (Entwicklerumgebung)
  • api.gowinston.ai (öffentliche API)

Außerhalb des Geltungsbereichs

  • gowinston.ai (öffentliche/Informationsmarketing-Seite) – keine Belohnungen oder Tests erlaubt.
  • Social-Engineering, Phishing oder Versuche, die sich gegen unsere Support-Mitarbeiter oder Dritte richten.

Nicht melden (informativ / nicht belohnungsfähig) – sparen Sie uns beiden Zeit

Damit sich dieses Programm auf besonders schwerwiegende Probleme konzentrieren kann, bitten wir Sie, keine Berichte über die unten aufgeführten Punkte einzureichen, es sei denn, sie sind nachweislich Teil eines Exploits, der zur Exfiltration privater Benutzerdaten führt. Berichte, die nur einen der unten genannten Punkte enthalten, werden als Information behandelt und kommen nicht für eine Zahlung in Frage.

Melden Sie Folgendes nicht (Beispiele):

  • Aufzählung von E-Mail-/Benutzernamen (z.B. verschiedene Fehlermeldungen oder Antworten, aus denen hervorgeht, ob ein Konto existiert).
  • Timing-Unterschiede oder kleinere Timing-Seitenkanäle, sofern sie nicht mit einem PoC verbunden sind, der PII exfiltriert.
  • Fehlende oder falsch konfigurierte Sicherheits-Header (Content-Security-Policy, X-Frame-Options, HSTS), wenn sie keine Datenexfiltration ermöglichen.
  • Kleinere UI-Probleme, Clickjacking, das eine Benutzerinteraktion erfordert, oder unsichere CSP-Warnungen, die nicht zur Preisgabe von PII führen.
  • Informationen, die bereits öffentlich oder über robots.txt, Sitemap oder öffentliche APIs zugänglich sind, die absichtlich nicht sensible Daten preisgeben.
  • Veraltete Bibliotheks-/Versionsnummern oder allein die Angabe der Softwareversion (es sei denn, ein Exploit beweist Datendiebstahl).
  • Automatisierte Scannerausgabe ohne menschlich verifizierte PoC- oder eindeutige Reproduktionsschritte.
  • Berichte über ratenbegrenzendes Verhalten oder Brute-Force-Versuche, es sei denn, sie ermöglichen eine Kontoübernahme oder einen Datenexport.
  • XSS mit geringer Auswirkung beschränkt sich auf benutzergesteuerte Vorschaufelder, die keine anderen Benutzer erreichen oder auf gespeicherte private Daten zugreifen können.
  • Denial-of-Service (DoS)-Angriffe oder volumetrische Missbrauchsversuche – DoS-Tests werden von uns nicht belohnt.
  • Social-Engineering, Phishing oder Techniken, die auf Mitarbeiter abzielen. Diese sind nicht erlaubt.
  • Schwachstellen in Diensten oder Software von Drittanbietern, für die Sie keine Berechtigung zum Testen haben (melden Sie diese dem Anbieter).
  • Credential Stuffing / Kontozugriff, der ausschließlich durch die Verwendung von durchgesickerten Anmeldeinformationen von anderen angegriffenen Websites nachgewiesen wird. Berichte, die nur den Zugriff durch wiederverwendete Zugangsdaten zeigen (ohne eine eindeutige Sicherheitslücke in unseren Systemen, die diesen Zugriff ermöglicht), sind informativ und nicht zahlungsfähig.
  • Anfragen für allgemeine Sicherheitsberatung, Pentesting-Dienste oder nicht umsetzbare Fragen (verwenden Sie stattdessen support@gowinston.ai ).

Wenn Sie glauben, dass eine der obigen Informationen Teil einer größeren Sicherheitslücke ist: Fügen Sie einen überprüfbaren PoC bei, der zeigt, wie diese Lücke genutzt wird, um auf private Benutzerdaten zuzugreifen oder diese zu exfiltrieren (ggf. geschwärzt). Wenn Sie keinen sicheren PoC zur Verfügung stellen können, wenden Sie sich vor weiteren Tests an security@gowinston.ai, um Rat einzuholen.

Wofür wir bezahlen

Wir werden nach eigenem Ermessen Belohnungen für verifizierte Schwachstellen in Betracht ziehen , die nachweislich private Benutzerdaten in großem Umfang exfiltrieren oder eine serverseitige Kompromittierung ermöglichen. Zu den privaten Benutzerdaten gehören E-Mail-Adressen, Kontopasswörter oder passwortähnliche Token sowie hochgeladene Benutzerinhalte.

Regeln für die Zulässigkeit

  • Zu den belohnungswürdigen Entdeckungen gehören Sicherheitslücken, die es ermöglichen:
    • Massenexport oder automatisches Sammeln von Benutzerdatensätzen (z. B. eine nicht authentifizierte oder schlecht geschützte API, die mit einem Skript viele Datensätze extrahieren kann);
    • Serverseitige Remotecode-Ausführung, vollständiger Datenbankexport oder eine andere Kompromittierung des Servers, die zum Zugriff auf gespeicherte Benutzerdaten für viele Benutzer genutzt werden kann; oder
    • Jede Sicherheitslücke, die nachweislich eine automatisierte, wiederholbare Kompromittierung einer großen Anzahl von Konten oder Dateien ermöglicht.
  • Nicht belohnungsfähig (wird als informativ behandelt) , es sei denn, der Berichterstatter liefert einen überprüfbaren PoC, der die Skalierbarkeit/Automatisierung beweist:
    • Übernahme-Szenarien für ein einzelnes Konto, die nur ein Konto betreffen und keinen Weg zur Automatisierung oder Skalierung aufzeigen;
    • Isolierte Logik-/UI-Bugs, Timing-Seitenkanäle oder Fehler, die eine Benutzerinteraktion erfordern und nicht automatisiert werden können und viele Benutzer betreffen;
    • Scanner-Ausgaben oder nicht umsetzbare Berichte ohne von Menschen geprüften PoC.
    • Konten, auf die ausschließlich über Credential Stuffing zugegriffen wurde, oder wiederverwendete Zugangsdaten aus externen Sicherheitsverletzungen – sofern der Bericht nicht eine separate serverseitige Schwachstelle aufzeigt (z. B. einen Endpunkt, der Zugangsdaten preisgibt, oder einen Bypass, der die massenhafte Verwendung von preisgegebenen Zugangsdaten ermöglicht), sind diese Berichte informativ und nicht auszahlungsberechtigt.

Erfordernis des Wirkungsnachweises

Um für eine Zahlung in Frage zu kommen, müssen die Berichte einen überprüfbaren PoC enthalten, der die Auswirkungen sicher nachweist (geschwärzte Screenshots oder Protokolle sind akzeptabel). Exfiltrieren Sie keine echten Benutzerdaten. Wenn Sie keinen sicheren PoC vorlegen können, wenden Sie sich vor weiteren Tests an security@gowinston.ai, um Rat einzuholen.

Einsatzregeln / Sicheres Testen

  • Exfiltrieren Sie keine echten Benutzerdaten. Führen Sie den Proof-of-Concept mit sicheren, geschwärzten Beweisen durch, die das Problem beweisen, ohne die Benutzer bloßzustellen.
  • Greifen Sie nicht auf Benutzerinhalte zu, ändern oder löschen Sie sie nicht.
  • Beenden Sie die Tests, wenn Sie von unserem Sicherheitsteam dazu aufgefordert werden.
  • Führen Sie keine Denial-of-Service-, destruktiven Tests oder Social Engineering durch.

Wie Sie einreichen

E-Mail security@gowinston.ai mit:

  • Kurze Zusammenfassung des Themas
  • Schritte zur Reproduktion (PoC) oder ein Link zu einem aufgezeichneten PoC (geschwärzt)
  • Folgenabschätzung (ungefähre Anzahl der betroffenen Benutzer/Datentypen)

Da wir eine sehr große Menge an Einsendungen erhalten (viele Duplikate und automatische Scannerberichte), kann es zu Verzögerungen bei der Eingangsbestätigung und der Sichtung kommen. Wir werden den Empfang bestätigen und Sie so schnell wie möglich über die nächsten Schritte informieren. Wichtig: Wenn ein qualifizierter Bericht für dieselbe Schwachstelle vor Ihrer Einreichung bei uns eingereicht wurde, werden nachfolgende doppelte Berichte als Informationen behandelt und kommen nicht für eine Zahlung in Frage. Um Verzögerungen zu vermeiden, fügen Sie einen eindeutigen, überprüfbaren PoC bei und reichen Sie das gleiche Problem nicht erneut ein.

Zahlungen & Überprüfung

Validierte Berichte können nach eigenem Ermessen bezahlt werden (bis zu 5.000 USD). Die Höhe der Zahlungen richtet sich nach den Auswirkungen, der Ausnutzbarkeit, den vorgelegten Beweisen und der Komplexität der Abhilfemaßnahmen. Die endgültige Höhe der Belohnung liegt im Ermessen von Winston AI und erfordert einen verifizierten PoC und eine erfolgreiche Validierung durch unser Sicherheitsteam. Wir behalten uns das Recht vor, Zahlungen für doppelte Berichte, PoCs von geringer Qualität oder missbräuchliches Verhalten abzulehnen oder zu kürzen.

Rechtlicher & sicherer Hafens

Wenn Sie die oben genannten Verhaltensregeln befolgen und in gutem Glauben handeln, um uns bei der Sicherung unserer Systeme zu helfen, werden wir keine rechtlichen Schritte wegen Ihrer Tests einleiten. Wir behalten uns das Recht vor, Safe-Harbor abzulehnen, wenn die Tests gegen unsere Regeln oder geltendes Recht verstoßen.

Anti-Belästigungs-Politik

Wiederholte unaufgeforderte Anfragen, Erpressung oder Belästigung (einschließlich Zahlungsaufforderungen, Drohungen oder koordinierte öffentliche Bekanntmachungen, um Zahlungen zu erzwingen) werden ignoriert und können gemeldet werden. Dieses Programm dient dem verantwortungsvollen Umgang mit legitimen Sicherheitsmeldungen – es ist keine Einnahmequelle oder Erpressungsmöglichkeit.

Kontakt

security@gowinston.ai