Voor bedrijven Voor thuisgebruik
Vulnerability Disclosure Policy

Gecoördineerde openbaarmaking van kwetsbaarheden

Coordinated Vulnerability Disclosure / VDP voor Password Depot

Status: 10 maart 2026

Kwetsbaarheid melden Security Advisories
Safe Harbor Toepassingsgebied Bevestiging binnen 48 uur Coordinated Disclosure
Doel & toepassingsgebied

Doel van deze policy

AceBIT GmbH stelt meldingen over kwetsbaarheden in Password Depot en in bijbehorende productgerelateerde webdiensten waarvoor AceBIT verantwoordelijk is op prijs. Deze policy beschrijft hoe securityonderzoekers potentiële kwetsbaarheden kunnen melden, welke regels gelden voor securityonderzoek en welke toezeggingen AceBIT doet in het kader van gecoördineerde openbaarmaking.

Meldingen kunnen in het Duits of Engels worden gedaan.

Toepassingsgebied

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Browserextensie (Chrome, Edge, Firefox)
  • Mobiele apps (iOS, Android)
  • Productgerelateerde webdiensten op password-depot.de

Inclusief componenten van derden, voor zover deze deel uitmaken van de genoemde producten.

Niet inbegrepen

  • Productieomgevingen van klanten, klantspecifieke installaties en overige systemen van derden
  • Door derden beheerde diensten of infrastructuren die geen onderdeel zijn van Password Depot
  • Social engineering, phishing, fysieke aanvallen, spam, brute force, credential stuffing, massascans of denial-of-service-tests
Safe Harbor

Safe Harbor

Als u te goeder trouw handelt, zich aan deze policy houdt, uw tests beperkt tot het hierboven beschreven toepassingsgebied en geen gegevens uitleest, wijzigt, verwijdert, exfiltreert of diensten verstoort, zien wij – voor zover wettelijk toegestaan – af van civielrechtelijke aanspraken naar aanleiding van dit securityonderzoek.

Voor zover dit binnen onze invloedssfeer ligt en wettelijk is toegestaan, zullen wij naar aanleiding van dergelijk securityonderzoek ook geen strafrechtelijke aangifte doen.

Dit geldt niet voor handelingen buiten het toepassingsgebied, voor tests op klantsystemen of andere systemen van derden, voor inbreuken op de gegevensbescherming, verstoringen van de bedrijfsvoering of andere schendingen van toepasselijk recht.

Dit beleid is geen toestemming voor tests buiten de hier beschreven reikwijdte.
Richtlijnen

Onze verwachtingen van securityonderzoekers

1 Handel zorgvuldig en te goeder trouw, en beperk uw tests tot wat nodig is om de kwetsbaarheid aantoonbaar te onderbouwen.
2 Krijg geen toegang tot echte klantgegevens. Als u onbedoeld toegang krijgt tot gevoelige gegevens, stop de test dan onmiddellijk en informeer ons direct.
3 Wijzig, verwijder, exfiltreer of publiceer geen gegevens.
4 Voer geen tests uit die systemen of diensten kunnen verstoren of de beschikbaarheid ervan kunnen verminderen.
5 Gebruik geen social engineering, geen phishing, geen fysieke aanvallen en installeer geen backdoors of persistentiemechanismen.
6 Deel geen details openbaar voordat we samen een afgestemd moment voor openbaarmaking hebben vastgesteld.
PGP-sleutel

Versleutelde communicatie

Gebruik voor gevoelige technische details de openbare PGP-sleutel van het Password Depot Security Team. Controleer vóór het versleutelen de vingerafdruk van de gedownloade sleutel.

Identiteit Password Depot Security <security@password-depot.de> Primaire vingerafdruk (Ed25519, Sign+Certify) 29D3 2E66 D801 E549 8EFD C944 2D9D 5787 9104 EBAA Encryptie-subsleutel (Curve25519) 8FC8 9959 3ACD 6D36 4F81 CC19 18A4 0C54 0FD1 0767 Geldigheid Primaire sleutel geldig tot 2031-04-23 · Encryptie-subsleutel geldig tot 2028-04-23 Sleutel downloaden https://www.password-depot.de/.well-known/pgp-key.asc

Daarnaast vindbaar via RFC 9116 (security.txt) op /.well-known/security.txt.

Melding

Zo meldt u een kwetsbaarheid

Melding verzenden

Stuur uw melding naar:

security@password-depot.de

Voeg het volgende toe

  • Betrokken product, versie, build en component
  • Beschrijving van de kwetsbaarheid
  • Stappen voor reproductie / Proof of Concept
  • Inschatting van impact en ernst
  • Testomgeving, configuratie en randvoorwaarden
  • Contactgegevens en eventueel de wens om met naam te worden vermeld
Stuur geen onnodige persoonsgegevens en geen grote databestanden uit productieomgevingen mee.

Vertrouwelijkheid

Wij behandelen uw melding en – indien door u gewenst – uw identiteit vertrouwelijk, voor zover dit wettelijk is toegestaan. Wij publiceren uw naam alleen met uw voorafgaande toestemming.

Uw gegevens worden alleen gedeeld voor zover dit nodig is voor het onderzoeken, verhelpen en gecoördineerd openbaar maken van de kwetsbaarheid of voor het nakomen van wettelijke verplichtingen.

Proces

Wat er na uw melding gebeurt

Ontvangstbevestiging 48 uur Wij bevestigen de ontvangst van uw melding.
Eerste beoordeling 7 dagen Wij laten u weten of wij de melding als geldig, dubbel gemeld, buiten de scope of momenteel niet verifieerbaar beoordelen.
Doorlopende updates elke 30 dagen Wij informeren u over de voortgang van de afhandeling totdat het probleem is verholpen of totdat openbaarmaking in onderling overleg plaatsvindt.
Openbaarmaking

Gecoördineerde openbaarmaking en Security Advisories

Zodra een beveiligingsupdate of een andere doeltreffende corrigerende maatregel beschikbaar is, publiceren wij voor bevestigde kwetsbaarheden in de regel een Security Advisory.

Als onmiddellijke publicatie de veiligheid van onze gebruikers in gevaar zou brengen, kunnen wij de publicatie uitstellen tot een passend moment.

Security Advisories bekijken

Een Security Advisory bevat minimaal

  • Een beschrijving van de kwetsbaarheid
  • De betrokken producten en versies
  • Impact en ernst
  • Duidelijke aanwijzingen voor herstel of mitigatie

Opmerking over wettelijke meldplichten

Als een melding wijst op een actief uitgebuite kwetsbaarheid of op een ernstig beveiligingsincident, kunnen wij wettelijk verplicht zijn om noodzakelijke technische informatie door te geven aan bevoegde autoriteiten, het verantwoordelijke CSIRT en ENISA, en betrokken gebruikers te informeren.

Wij geven uw identiteit daarbij alleen door voor zover dit wettelijk vereist is.

Erkenning

Wij bieden momenteel geen financiële beloningen of bug-bountybetalingen aan, tenzij dit uitdrukkelijk afzonderlijk wordt aangekondigd.

Als u dat wilt, vermelden wij u na het verhelpen van de kwetsbaarheid in een Security Advisory of in een dankbetuiging. Laat ons dit dan bij uw melding weten.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Duitsland E-mail: security@password-depot.de
Kwetsbaarheid melden