Responsible Disclosure Policy

Die Sicherheit unserer Plattform und der Daten unserer Nutzer hat für uns höchste Priorität. Wenn du eine Sicherheitslücke in ModCockpit entdeckt hast, bitten wir dich, diese verantwortungsvoll zu melden.

Geltungsbereich (Scope)

• *.modcockpit.tv (Website, Relay-Server, Dashboard)
• ModCockpit OBS-Plugin
• ModCockpit Streamer.bot-Plugin

Regeln

• Kein Denial-of-Service (DoS/DDoS) gegen unsere Infrastruktur
• Kein Zugriff auf Daten anderer Nutzer
• Keine öffentliche Veröffentlichung der Schwachstelle vor dem Fix
• Keine Social-Engineering-Angriffe gegen unser Team oder unsere Nutzer
• Keine automatisierten Scans ohne vorherige Absprache

Zeitrahmen

• Bestätigung: innerhalb von 48 Stunden
• Bewertung: innerhalb von 5 Werktagen
• Fix-Ziel: 90 Tage (je nach Schwere auch schneller)

Anerkennung

Wir bieten derzeit kein Bug-Bounty-Programm an. Auf Wunsch nennen wir dich gerne auf dieser Seite als Dank für deinen Beitrag zur Sicherheit von ModCockpit.

Out of Scope

• Social-Media-Accounts (Twitch, Discord, etc.)
• Phishing-Versuche gegen unser Team
• Physische Sicherheit (Büro, Server-Standort)
• Findings, die bereits bekannt sind oder keine reale Auswirkung haben

Kontakt

Bitte melde Sicherheitslücken ausschließlich per E-Mail an:
security@modcockpit.tv

Beschreibe die Schwachstelle so detailliert wie möglich, idealerweise mit:

• Betroffene URL / Komponente
• Schritte zur Reproduktion
• Erwartetes vs. tatsächliches Verhalten
• Mögliche Auswirkungen