Vulnerability Disclosure Program (VDP)

Help us make our systems even more secure.

Sicherheit hat bei NMMN höchste Priorität

Gemeinsam für mehr Sicherheit: Informationen zur verantwortungsbewussten Meldung von Sicherheitslücken.

Wir schätzen die Arbeit der Sicherheits-Community und glauben, dass eine verantwortungsvolle Offenlegung von Schwachstellen (Responsible Disclosure) entscheidend zur Sicherheit unserer Systeme beiträgt. Wenn Sie eine Sicherheitslücke in unseren Diensten gefunden haben, freuen wir uns über Ihre Meldung.

Security is a top priority at NMMN

Together for more security: Information on the responsible disclosure of security vulnerabilities. We value the work of the security community and believe that a Responsible Disclosure process is crucial to the security of our systems. If you have discovered a security vulnerability in our services, we look forward to receiving your report.

Unsere Regeln – Safe Harbor

Um sicherzustellen, dass Sie rechtlich geschützt sind, sichern wir Ihnen zu, keine rechtlichen Schritte einzuleiten, sofern Sie sich an folgende Regeln halten:

  • Keine Zerstörung: Versuchen Sie nicht, Daten zu löschen oder zu verändern oder die Verfügbarkeit unserer Dienste zu beeinträchtigen (DoS/DDoS).

  • Datenschutz: Greifen Sie nicht auf Daten anderer Nutzer zu. Wenn Sie auf personenbezogene Daten stoßen, brechen Sie den Test ab und melden Sie uns dies sofort.

  • Keine Erpressung: Fordern Sie keine Belohnungen im Austausch für die Meldung. Wir honorieren Meldungen nach eigenem Ermessen (z. B. durch Nennung in unserer Hall of Fame).

  • Vertraulichkeit: Geben Sie Details zur Schwachstelle nicht an Dritte weiter, bevor wir die Lücke geschlossen haben.

Our Rules – Safe Harbor

To ensure you are legally protected, we pledge not to take legal action as long as you adhere to the following rules:

  • No Destruction: Do not attempt to delete or modify data or affect the availability of our services (DoS/DDoS).

  • Data Privacy: Do not access data belonging to other users. If you encounter personal data, stop the test and report it to us immediately.

  • No Extortion: Do not demand rewards in exchange for the report. We honor reports at our own discretion (e.g., by mentioning you in our Hall of Fame).

  • Confidentiality: Do not share details of the vulnerability with third parties before we have closed the loop.

Was wir nicht suchen (Out of Scope)

Social Engineering gegen unsere Mitarbeiter, Physical Security unserer Standorte sowie bekannte Standard-Best-Practices ohne direkten Exploit (z. B. fehlende Sicherheitsheader ohne Auswirkung) sind von diesem Programm ausgeschlossen.

Out of Scope

Social engineering against our employees, physical security of our locations, and known standard best practices without a direct exploit (e.g., missing security headers without impact) are excluded from this program.

So melden Sie eine Schwachstelle

Bitte senden Sie Ihren Report verschlüsselt an unsere E-Mail-Adresse: E-Mail: da*********@**mn.com

Was der Report enthalten sollte:

  1. Eine kurze Beschreibung der Schwachstelle.

  2. Den betroffenen Endpunkt (URL oder IP).

  3. Eine Schritt-für-Schritt-Anleitung zur Reproduktion (PoC).

  4. Ihren Namen oder ein Pseudonym für unsere Hall of Fame.

How to Report a Vulnerability

Please send your report encrypted to our email address: Email: da*********@**mn.com

What the report should include:

  1. A brief description of the vulnerability.

  2. The affected endpoint (URL or IP).

  3. A step-by-step guide to reproduction (PoC).

  4. Your name or a pseudonym for our Hall of Fame.

Verschlüsselung

Encryption

Nutzen Sie bitte unseren PGP-Key für die verschlüsselte Kommunikation

Please use our PGP key for encrypted communication

Fingerprint: 0A59 5F59 2002 12C1 6387 70BC 3560 73D2 A917 0ECB

Download PGP-Key

Sicherheitsrichtlinie

Unsere Priorität ist der Schutz der Daten unserer Kunden und die Integrität unserer Systeme. Diese Richtlinie definiert den Rahmen für Sicherheitsuntersuchungen:

  • Reaktionszeit: Wir bestätigen den Erhalt Ihres Reports innerhalb von 3 Werktagen.

  • Transparenz: Wir halten Sie über den Fortschritt der Behebung auf dem Laufenden.

  • Rechtliche Zusage: Wir werden keine Strafanzeige erstatten oder zivilrechtliche Schritte einleiten, wenn die Untersuchung im Rahmen dieser Policy und ohne Schädigungsabsicht erfolgt.

  • Ausschlüsse: Automatisierte Scans, die eine hohe Last erzeugen, sind untersagt.

Security Policy

Our priority is protecting our customers‘ data and the integrity of our systems. This policy defines the framework for security investigations:

  • Response Time: We will acknowledge receipt of your report within 3 business days.

  • Transparency: We will keep you updated on the progress of the resolution.

  • Legal Commitment: We will not file criminal charges or initiate civil action as long as the investigation is conducted within the scope of this policy and without intent to cause harm.

  • Exclusions: Automated scans that generate high traffic loads are prohibited.

HALL OF FAME

Wir möchten uns herzlich bei den folgenden Sicherheitsforschern bedanken, die durch ihre qualifizierten Meldungen dazu beigetragen haben, NMMN sicherer zu machen. Ihr professionelles Verhalten und ihre Expertise sind ein wertvoller Beitrag zum Schutz unserer Infrastruktur.

We would like to express our sincere thanks to the following security researchers who have helped make NMMN more secure through their qualified reports. Their professional conduct and expertise are a valuable contribution to the protection of our infrastructure.

Jahr / Year Monat / Month Name / Researcher Typ / Category
2026 April Noch keine Einträge / No entries yet -
WordPress Cookie Plugin von Real Cookie Banner