Sicherheit · Coordinated Vulnerability Disclosure
Verantwortliche Offenlegung von Sicherheitslücken
Wenn Sie eine Sicherheitslücke in TravelControl entdeckt haben, freuen wir uns über Ihren Hinweis. Bitte gehen Sie verantwortungsvoll vor.
Kontakt
Bitte schreiben Sie an security@intertours.de. Wir bestätigen den Eingang innerhalb von 5 Werktagen und begleiten Sie durch die Triage und Behebung.
Maschinen-lesbare Kontaktinformationen finden Sie unter /.well-known/security.txt (RFC 9116).
Was wir uns von Ihnen wünschen
- Geben Sie uns ausreichend Zeit, die Schwachstelle zu analysieren und zu beheben, bevor Sie sie veröffentlichen (üblich: 90 Tage).
- Beschränken Sie Tests auf das Notwendige. Keine Lasttests, keine Datenexfiltration, keine Beeinträchtigung anderer Nutzer.
- Verändern oder löschen Sie keine Daten Dritter; greifen Sie nicht auf Daten zu, die nicht zur Demonstration der Lücke notwendig sind.
- Bitte stellen Sie uns eine konkrete Beschreibung mit Reproduktions- schritten zur Verfügung.
Was wir Ihnen zusagen
- Bestätigung des Eingangs innerhalb von 5 Werktagen.
- Transparente Kommunikation über den Status der Behebung.
- Keine rechtlichen Schritte gegen Sicherheitsforschende, die sich an diese Richtlinie halten und in gutem Glauben handeln.
- Auf Wunsch eine Erwähnung in unseren Acknowledgments.
Geltungsbereich
Diese Richtlinie gilt für folgende Domains und alle dort gehosteten Anwendungen:
travelcontrol.intertours.travel— Production-Domaintravelcontrolos.vercel.app— Vercel-Hosting-URL (Plattform-Backup)
Sie umfasst auch alle Daten, die durch TravelControl im Auftrag von Intertours Reisen & Events GmbH verarbeitet werden.