Vulnerability Disclosure Policy

Gecoördineerde openbaarmaking van kwetsbaarheden

Coordinated Vulnerability Disclosure / VDP voor Password Depot

Ingangsdatum: 10 maart 2026

Kwetsbaarheid melden Security Advisories
Safe Harbor Toepassingsgebied 48u Bevestiging Coordinated Disclosure
Doel & toepassingsgebied

Doel van dit beleid

AceBIT GmbH verwelkomt meldingen van beveiligingsproblemen in Password Depot en in gerelateerde, door AceBIT beheerde productgerelateerde webdiensten. Dit beleid beschrijft hoe beveiligingsonderzoekers potentiële kwetsbaarheden kunnen melden, welke regels gelden bij beveiligingsonderzoek en welke toezeggingen AceBIT doet in het kader van een gecoördineerde openbaarmaking.

Meldingen kunnen in het Duits of Engels worden ingediend.

Toepassingsgebied

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Browser Extension (Chrome, Edge, Firefox)
  • Mobile Apps (iOS, Android)
  • Productgerelateerde webdiensten onder password-depot.de

Inclusief componenten van derden, voor zover deze onderdeel zijn van de bovengenoemde producten.

Buiten het toepassingsgebied

  • Productieomgevingen van klanten, klantspecifieke installaties en overige systemen van derden
  • Diensten of infrastructuren die door derden worden beheerd en geen onderdeel zijn van Password Depot
  • Social engineering, phishing, fysieke aanvallen, spam, brute force, credential stuffing, massascans of denial-of-service-tests
Safe Harbor

Safe Harbor

Als u te goeder trouw handelt, zich aan dit beleid houdt, uw tests beperkt tot het hierboven beschreven toepassingsgebied en geen gegevens uitleest, wijzigt, verwijdert, exfiltreert of diensten schaadt, zien wij – voor zover wettelijk toegestaan – af van civielrechtelijke vorderingen in verband met dit beveiligingsonderzoek.

Voor zover dit binnen onze invloedssfeer ligt en wettelijk is toegestaan, zullen wij in verband met dergelijk beveiligingsonderzoek ook geen strafrechtelijke aangifte doen.

Dit geldt niet voor handelingen buiten het toepassingsgebied, voor tests tegen klant- of andere systemen van derden, voor privacyschendingen, bedrijfsverstoringen of andere overtredingen van het toepasselijke recht.

Dit beleid vormt geen toestemming voor tests buiten het hier beschreven toepassingsgebied.
Guidelines

Onze verwachtingen ten aanzien van beveiligingsonderzoekers

1 Handel zorgvuldig, te goeder trouw en beperk uw tests tot het noodzakelijke om de kwetsbaarheid reproduceerbaar aan te tonen.
2 Krijg geen toegang tot echte klantgegevens. Als u onbedoeld toegang krijgt tot gevoelige gegevens, stop dan onmiddellijk de test en informeer ons zonder vertraging.
3 Wijzig, verwijder, exfiltreer of publiceer geen gegevens.
4 Voer geen tests uit die systemen of diensten kunnen schaden of hun beschikbaarheid kunnen verminderen.
5 Gebruik geen social engineering, geen phishing, geen fysieke aanvallen en installeer geen achterdeuren of persistentiemechanismen.
6 Deel details niet openbaar voordat wij gezamenlijk een afgestemd publicatietijdstip hebben vastgesteld.
Melding

Zo meldt u een kwetsbaarheid

Melding versturen

Stuur uw melding naar:

security@password-depot.de

Vermeld alstublieft

  • Betrokken product, versie, build en component
  • Beschrijving van de kwetsbaarheid
  • Stappen om te reproduceren / proof of concept
  • Uw inschatting van de impact en ernst
  • Testomgeving, configuratie en voorwaarden
  • Contactgegevens en eventueel de wens tot naamsvermelding
Stuur alstublieft geen onnodige persoonsgegevens en geen grote datasets uit productieomgevingen.

Vertrouwelijkheid

Wij behandelen uw melding en – indien u dat wenst – uw identiteit vertrouwelijk, voor zover dit wettelijk is toegestaan. Wij publiceren uw naam uitsluitend met uw voorafgaande toestemming.

Doorgifte van uw gegevens vindt uitsluitend plaats voor zover dit noodzakelijk is voor de beoordeling, het verhelpen en de gecoördineerde openbaarmaking van de kwetsbaarheid of voor het nakomen van wettelijke verplichtingen.

Proces

Wat er na uw melding gebeurt

Ontvangstbevestiging 48 uur Wij bevestigen de ontvangst van uw melding.
Eerste beoordeling 7 dagen Wij laten u weten of wij de melding classificeren als geldig, dubbel, buiten het toepassingsgebied of momenteel niet reproduceerbaar.
Voortgangsupdates elke 30 dagen Wij informeren u over de voortgang tot aan de oplossing of tot de gecoördineerde openbaarmaking.
Openbaarmaking

Gecoördineerde openbaarmaking en Security Advisories

Zodra een beveiligingsupdate of een andere doeltreffende oplossing beschikbaar is, publiceren wij voor bevestigde en te verhelpen kwetsbaarheden in de regel een Security Advisory.

Indien onmiddellijke publicatie de veiligheid van onze gebruikers in gevaar zou brengen, kunnen wij de publicatie uitstellen tot een passend moment.

Een Advisory bevat minimaal

  • Een beschrijving van de kwetsbaarheid
  • De betrokken producten en versies
  • Impact en ernst
  • Duidelijke aanwijzingen voor het verhelpen of beperken

Opmerking over wettelijke meldplichten

Indien een melding wijst op een actief misbruikte kwetsbaarheid of op een ernstig beveiligingsincident, kunnen wij wettelijk verplicht zijn om de benodigde technische informatie door te geven aan bevoegde autoriteiten, het bevoegde CSIRT en ENISA, en om getroffen gebruikers te informeren.

Uw identiteit geven wij daarbij uitsluitend door voor zover dit wettelijk vereist is.

Erkenning

Wij bieden momenteel geen financiële beloningen of bug-bounty-betalingen aan, tenzij dit uitdrukkelijk apart wordt aangekondigd.

Indien u dat wenst, vermelden wij uw naam na het verhelpen van de kwetsbaarheid in een Security Advisory of in een dankbetuiging. Geef dit alstublieft aan bij uw melding.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Duitsland
E-mail: security@password-depot.de
Kwetsbaarheid melden