Because we care

Security

Wir wollen die sicherste und zuverlässigste Plattform für unsere Nutzer zur Verfügung stellen. Wenn du als Security-Researcher sicherheitsrelevante Probleme auf unserer Plattform gefunden hast, bitten wir dich um einen verantwortungsvollen Umgang durch Bereitstellung deiner Informationen.


Wir honorieren im Rahmen unseres privaten Bug Bounty-Programms alle Reports, die unsere Regeln einhalten und danken dir, dass du LOVOO sicherer machen möchtest!

Regeln

  • Du darfst keinen Zugriff auf private Daten anderer Benutzerkonten nehmen, diese herunterladen oder speichern. Gemeint sind damit alle Daten die nur für den jeweiligen User persönlich zu sehen sind. Interagiere nur mit Konten, die dir gehören oder von denen du eine explizite Erlaubnis hast.

  • Jegliche Tests, die die Verfügbarkeit oder Integrität (z. B. Daten zerstören, verändern oder löschen) unserer Dienste beeinträchtigen könnten, sind zu unterlassen und nicht zugelassen (zum Beispiel auch automatische Vulnerability-Scans). Ebenfalls sind DDoS- oder Spam-Attacken nicht zugelassen.

  • Social Engineering, Phishing sowie jeglicher physische Eingriff in das Eigentum (wie Rechenzentrum) von LOVOO ist nicht zugelassen.

  • Attacken dürfen zu keiner Beeinträchtigung anderer Nutzer führen.

  • Probleme aus den Reports dürfen nicht bereits veröffentlicht sein oder werden. Es muss uns 60 Tage Zeit gegeben werden (vor Public Disclosure oder Disclosure gegenüber einem Dritten), die Probleme zu beheben. Bitte folge den Grundprinzipien einer verantwortungsvollen Enthüllung (responsible disclosure).

  • Alle Probleme müssen reproduzierbar sein. Alle Reports müssen eine Anleitung zur Reproduktion enthalten (Proof-Of-Concept-Code oder eindeutiger Request, z. B. Beispiel-HTTP-Aufruf inkl. Request-/Response-Header und Body)

  • Der Report bezieht sich auf ein Problem, das sowohl im Scope enthalten, als auch von der Qualifikation abgedeckt ist.

  • Von der Teilnahme ausgenommen sind jedoch die gesetzlichen Vertreter, aktuelle und ehemalige Mitarbeiter der LOVOO GmbH und mit ihr verbundenen Unternehmen sowie deren Angehörige. Minderjährige dürfen nur mit der Zustimmung ihres gesetzlichen Vertreters teilnehmen.

Scope

  • Das Problem bezieht sich auf eine der folgenden Domains: lovoo.com, www.lovoo.com, api.lovoo.com, api.gateway.lovoo.com.

  • Das Problem bezieht sich auf die aktuell verfügbare Version unserer iOS-, Android-Apps oder Website.

  • Das Problem bezieht sich auf einen Dienst oder eine Website, welche von LOVOO betrieben werden.

Qualifikation

  • Das berichtete Problem darf uns nicht bereits bekannt oder durch eine andere Person bereits eingereicht worden sein.

  • Das Problem muss ein von uns nicht akzeptierbares Risiko darstellen.

  • Timing-Attacken, die z. B. auf die Existenz eines Users Rückschlüsse ziehen lassen, sind nicht vom Bug Bounty-Programm umfasst.

  • Attacken und Probleme, die Brute-Force einsetzen, sind nicht Teil des Programms.

  • Probleme, die auf älteren mobilen Geräten, Betriebssystemen oder Browsern identifiziert werden, sind nicht Teil des Programms.
    Das Problem muss auf dem aktuellsten Gerät, Betriebssystem und Browser (ohne Browser-Extensions) reproduzierbar sein.

Wenn du mit uns in Kontakt treten möchtest, kannst du uns jederzeit per E-Mail unter vulnerability@lovoo.com erreichen.
Bitte verschlüssele deine Mail mit PGP/GPG (Key-ID: 60195DC6).
Unser Fingerprint lautet: 3EE5 D572 4D6D 00E5 5C53 F8FD C406 FBF7 6019 5DC6

Hall of Fame

Wir danken allen, die dazu beigetragen haben, uns sicherer zu machen.

Wenn dein Name fälschlicherweise auf der Liste steht oder du der Meinung bist, dass du auf der Liste stehen solltest, kannst du uns gerne eine E-Mail schicken.