SkyDelay logoSkyDelay
Verantwortungsvolle Offenlegung willkommen

Sicherheit bei SkyDelay

Unsere Kunden vertrauen uns Bankdaten, Ausweisdokumente und Reisedaten an. Diese Verantwortung nehmen wir ernst. Diese Seite beschreibt, wie wir Ihre Daten schützen und wie Forscher Sicherheitsprobleme verantwortungsvoll melden können.

Sicherheitslücke melden

Wenn Sie glauben, eine Sicherheitslücke in einem SkyDelay-System gefunden zu haben, melden Sie sie bitte vor der Veröffentlichung an uns. Wir verpflichten uns zu:

  • Bestätigung Ihres Berichts innerhalb von 2 Werktagen.
  • Eine erste Einschätzung innerhalb von 7 Kalendertagen.
  • Sie über den Fortschritt der Behebung informieren.
  • Sie in unserer Hall of Fame (auf Wunsch) nach Behebung erwähnen.
  • Keine rechtlichen Schritte gegen Forscher, die in gutem Glauben handeln.
E-Mail
security@skydelay.org
security.txt
/.well-known/security.txt

Im Umfang

  • skydelay.org und alle von uns betriebenen Subdomains.
  • Das öffentliche Antragsformular und das Kundenportal.
  • Authentifizierungs-, Autorisierungs- und IDOR-Schwachstellen.
  • Server-seitige Schwachstellen (SSRF, RCE, SQL-Injection, NoSQL-Injection).
  • Offenlegung sensibler Daten (PII, IBAN, Zahlungsdaten, Ausweise).
  • Cross-Site Scripting, CSRF, defekte Zugriffskontrolle.

Außerhalb des Umfangs

  • Social Engineering von Mitarbeitern oder Kunden.
  • Denial-of-Service-, Brute-Force- oder Rate-Limit-Tests in der Produktion.
  • Meldungen fehlender Best-Practice-Header ohne funktionierenden Exploit.
  • Spam oder Content-Injection, die Nutzerinteraktion unter Angreiferkontrolle erfordert.
  • Dritte (Stripe, Vercel, MongoDB Atlas) — bitte direkt dort melden.

So schützen wir Daten

  • In der Übertragung: TLS 1.3 auf allen Subdomains erzwungen; HSTS mit 2-Jahres-max-age und Preload.
  • In Ruhe: AES-256-Verschlüsselung für Dokumente (Ausweis, Bordkarte, Belege) und Kunden-PII-Felder in MongoDB.
  • Zugriffskontrolle: Rollenbasierte Zugriffsrechte mit dem Prinzip der geringsten Rechte, MFA für alle Mitarbeiter, geprüfte Admin-Aktionen.
  • Rate Limiting: Per-IP- und per-PNR-Rate-Limits an jedem öffentlichen schreibenden Endpunkt.
  • Token-basierte Autorisierung: Resume-Tokens sind HMAC-signiert und an den jeweiligen Antrag gebunden.
  • IBAN-Validierung: Mod-97-Prüfsumme bei jeder Aktualisierung der Bankdaten.
  • Audit-Protokolle: Jede Statusänderung und Admin-Aktion wird in eine reine Anhängungs-Timeline geschrieben.
  • Penetrationstests: Jährlicher externer Pentest, interne Sicherheitsprüfung vor jedem Release.

DSGVO & Datenminimierung

Wir erheben nur die personenbezogenen Daten, die für die Bearbeitung Ihres Antrags zwingend erforderlich sind, und löschen sie zum früheren der folgenden Zeitpunkte: (i) Ihre schriftliche Aufforderung oder (ii) das Ende der geltenden Aufbewahrungsfrist gemäß albanischem Gesetz Nr. 9887/2008 und Artikel 6(1)(b) DSGVO. Backups werden im gleichen Rhythmus bereinigt.

Hall of Fame

Wir würdigen Forscher öffentlich, die gültige Schwachstellen melden. Wenn Sie aufgeführt werden möchten, geben Sie in Ihrer Meldung Ihren bevorzugten Handle und einen Link an.

Noch keine Einträge — seien Sie der Erste.

Zuletzt aktualisiert: 2026-06-04.