Datenschutzrichtlinie

Kontakt: https://github.com/Cap-go/capgo/security/advisories/new
Kanonical: https://capgo.app/security.txt

Bei Capgo legen wir die Sicherheit unserer Systeme in erster Linie an. Dennoch können, trotz aller Anstrengungen im Bereich der System-Sicherheit, noch immer Schwachstellen vorhanden sein.

Wenn Sie eine Schwachstelle entdecken, möchten wir davon erfahren, damit wir schnellstmöglich Schritte unternehmen können, um sie zu beheben. Wir bitten Sie, uns bei der besseren Abschirmung unserer Kunden und unserer Systeme zu helfen.

Vulnerabilitäten außerhalb des Geltungsbereichs:

• Clickjacking auf Seiten ohne sensitive Aktionen.
• Unauthentifizierte Logout-/Login-CSRF-Angriffe.
• Angriffe, die einen Man-in-the-Middle- oder physischen Zugriff auf ein Gerät eines Benutzers erfordern.
• Angriffe, die soziale Ingenieurskunst erfordern.
• Jeder Aktivität, die zu einer Störung unserer Dienstleistung (DoS) führen könnte.
• Probleme mit Inhaltsersatz und Texteingabe ohne Anzeige eines Angriffsszenarios/ohne die Möglichkeit, HTML/CSS zu ändern.
• Email-Fälschung
• Fehlende DNSSEC-, CAA- und CSP-Kopfzeilen
• Fehlende
• Sicher
• oder HTTP nur
• SSRF or DNS spoofing reports against webhooks or website preview. These features run on serverless infrastructure and cannot be used to reach private Capgo infrastructure, so they are not exploitable in our environment.

Totale Links

Some findings are repeatedly reported and tied to Supabase Auth behavior. These are only treated as Supabase-side issues when they can be reproduced in a shared Supabase demo project configured like ours and when a Supabase configuration change fixes the behavior without changing Capgo security rules. If the fix requires changing Capgo-owned SQL, RPCs, RLS policies, functions, or app logic, that is a Capgo issue and should be reported to us.

• SSRF- oder DNS-Fälschungsberichte gegen Webhooks oder Website-Vorschau. Diese Funktionen laufen auf serverloser Infrastruktur und können nicht verwendet werden, um private __CAPGO_KEEP_0__-Infrastruktur zu erreichen, daher sind sie in unserem Umfeld nicht ausnutzbar.
• Reports must include the exact fix path: either the Supabase setting/config change that resolves the behavior, or the Capgo-owned code/config object that must change.
• Konto/E-Mail-Flüsse werden gegen die Einstellungen des Supabase-Projekts validiert (z.B. ob die E-Mail-Verifizierung deaktiviert ist und der Capture-Flow verwendet wird).
• Die Passworts- und E-Mail/Passworts-Update-Flüsse können von der aktuellen Supabase-Auth-Sitzung und den Wiederherstellungs-Einstellungen abhängen.
• Wenn ein Demo-Projekt eine konkrete Supabase-Seitenaufgabe mit keiner Capgo-Richtlinienänderung nachweist oder eine konkrete Capgo-besitzene Defekt zeigt, überprüfen wir es als handlungsfähig.

Testleitlinien:

• Automatisierte Scanner auf anderen Kundenprojekten nicht ausführen. Die Ausführung von automatisierten Scannern kann für unsere Benutzer Kosten verursachen. Aggressiv konfigurierte Scanner können die Dienste stören, Ausfälle ausnutzen, zu Systeminstabilitäten oder Sicherheitsverletzungen führen und gegen die Nutzungsbedingungen unserer Auftragsverarbeiter verstoßen. Unsere eigenen Sicherheitssysteme können zwischen feindseliger Erkundung und weißer Hattenschutzforschung nicht unterscheiden. Wenn Sie einen automatischen Scanner ausführen möchten, benachrichtigen Sie uns bitte bei security@capgo.app und führen ihn nur auf Ihrem eigenen Capgo-Projekt aus. Projekte anderer Kunden nicht angreifen!
• Vorteile aus der Entdeckung eines Problems nicht nutzen, z.B. indem Sie mehr Daten als notwendig herunterladen, um das Problem zu demonstrieren, oder indem Sie andere Leute Daten löschen oder ändern.

Berichterstattungsleitlinien:

• Senden Sie Ihre Ergebnisse über unser GitHub Sicherheitsbericht:: https://github.com/Cap-go/capgo/security/advisories/new
• Reichen Sie bitte ausreichend Informationen, um das Problem zu reproduzieren, so dass wir es so schnell wie möglich beheben können.

Offenlegungsleitlinien:

• In Ordnung, unsere Kunden zu schützen, sollten Sie das Problem niemandem mitteilen, bis wir es untersucht, gelöst und unsere betroffenen Kunden informiert haben.
• Wenn Sie Ihre Forschungsergebnisse über Capgo an einer Konferenz, in einem Blog oder einem anderen öffentlichen Forum teilen möchten, sollten Sie uns einen Entwurf mindestens 30 Tage vor der Veröffentlichungsdatum zukommen lassen, damit wir ihn überprüfen und genehmigen können. Bitte beachten Sie, dass folgende Informationen nicht enthalten sein sollten:
  • Informationen zu Kundenprojekten von Capgo
  • Daten von Capgo-Kunden
  • Informationen über Capgo-Mitarbeiter, -Dienstleister oder -Partner

Was wir versprechen:

• Wir werden innerhalb von 7 Geschäftstagen auf Ihre Meldung reagieren und Ihnen unsere Bewertung der Meldung sowie einen erwarteten Lösungszeitpunkt mitteilen.
• Wenn Sie unsere Anweisungen befolgt haben, werden wir keine rechtlichen Schritte gegen Sie wegen der Meldung einleiten.
• Wir werden Ihre Meldung mit strenger Vertraulichkeit behandeln und Ihre persönlichen Daten ohne Ihre Zustimmung nicht an Dritte weitergeben.
• Wir werden Sie über den Fortschritt bei der Lösung des Problems informieren.
• In der öffentlichen Information über das gemeldete Problem werden wir Ihren Namen als Entdecker des Problems nennen (sofern Sie dies nicht anders wünschen).

Wir streben danach, alle Probleme so schnell wie möglich zu lösen und möchten eine aktive Rolle bei der endgültigen Veröffentlichung über das Problem nach seiner Lösung spielen.