Zum Hauptinhalt springen
W3B

Sicherheit bei W3B

Letzte Aktualisierung: 23. April 2026

Wenn Sie auf dieser Website eine Sicherheitslücke entdeckt haben, möchten wir davon erfahren. Sicherheitsforscherinnen und -forscher, die in gutem Glauben handeln, sind willkommen — wir bestätigen Ihre Meldung, halten Sie auf dem Laufenden und nennen Sie auf Wunsch öffentlich.

Im Geltungsbereich

  • web3bit.ro und sämtliche Subdomains
  • API-Endpunkte unter web3bit.ro/*
  • Integrationen Dritter, die wir selbst betreiben — die Kontaktformular-Action, das Calendly-Embed und die Turnstile-Challenge

Außerhalb des Geltungsbereichs

  • Social Engineering gegen unser Team, unsere Partnerinnen und Partner oder Kundinnen und Kunden
  • Physische Angriffe auf unsere Arbeitsräume oder Hardware
  • Denial-of-Service- oder volumetrische DDoS-Tests
  • Öffentlich bekannte CVEs, die auf einen Herstellerpatch warten
  • Fehler in Plattformen Dritter, die wir nicht betreiben — Vercel, Resend, Microsoft Clarity, Google Analytics, Cloudflare Turnstile (bitte direkt beim jeweiligen Anbieter melden)

So melden Sie eine Schwachstelle

Schreiben Sie uns an security@web3bit.ro mit dem Betreff-Präfix [w3b-vdp]. Bitte geben Sie an:

  • Eine klare Beschreibung der Schwachstelle und ihrer Auswirkung
  • Schritte zur Reproduktion (idealerweise ein minimaler Proof-of-Concept)
  • Betroffene URL, Endpunkt oder Build
  • Ob Sie nach der Behebung öffentlich genannt werden möchten

Reaktionszeiten

  • Eingangsbestätigung innerhalb von 72 Stunden nach Ihrer ersten Meldung
  • Erste Triage und Schweregradeinschätzung innerhalb von 7 Tagen
  • Regelmäßige Statusupdates, bis der Fall abgeschlossen ist

Safe Harbor

Gegen Forscherinnen und Forscher, die in gutem Glauben handeln, sich an den oben beschriebenen Geltungsbereich halten, unseren Dienst für andere nicht beeinträchtigen und keine Nutzerdaten über das zur Demonstration unbedingt Notwendige hinaus einsehen, abziehen, verändern oder aufbewahren, werden wir keine rechtlichen Schritte einleiten. Wenn Sie unsicher sind, ob etwas in den Geltungsbereich fällt, fragen Sie bitte vorab nach.

Prämien

Wir betreiben kein formelles Bug-Bounty-Programm. Bei relevanten Funden prüfen wir eine Anerkennung im Einzelfall — in der Regel ein Dankeschön, öffentliche Nennung und nach unserem Ermessen eine Gratifikation für besonders wirkungsvolle Meldungen.

Maschinenlesbar

Diese Richtlinie wird zusätzlich gemäß RFC 9116 veröffentlicht unter /.well-known/security.txt.