Security & Responsible Disclosure
Heritavo verwaltet sensible Daten unter einem Zero-Knowledge-Modell. Sicherheitsmeldungen haben für uns höchste Priorität. Diese Seite beschreibt, wie du eine Schwachstelle melden kannst und welche Erwartungen du an unseren Umgang stellen darfst.
Wie du Probleme meldest
Bevorzugt per E-Mail an security@heritavo.com. Falls dieser Kanal nicht erreichbar ist, erreichst du uns auch unter support@heritavo.com.
Maschinenlesbare Fassung dieser Policy: /.well-known/security.txt.
Was du in deine Meldung packen solltest
- Eine kurze Beschreibung der Schwachstelle und der betroffenen Komponente.
- Reproduktionsschritte (Request/Response, URL, ggf. Account-ID falls anwendbar).
- Einschätzung des Impacts und welche Vorbedingungen ein Angreifer braucht.
- Optional: einen Vorschlag zur Behebung.
Was wir zusichern
- Wir bestätigen den Eingang innerhalb von 72 Stunden.
- Wir geben einen ersten Status-Update innerhalb von 7 Tagen.
- Wir verfolgen keine rechtlichen Schritte gegen Forschende, die in gutem Glauben handeln, sich an diese Policy halten und keine echten User-Daten exfiltrieren.
- Wir nennen dich auf Wunsch in einer öffentlichen Hall-of-Fame, sobald die Lücke behoben ist.
Was wir bitten
- Verwende keine destruktiven Techniken (DoS, Datenmanipulation, Massenanlage von Accounts) — wenn du Beweisbedarf hast, lege dir einen eigenen Test-Account an.
- Greife nicht auf fremde User-Daten zu. Wenn du an reale Daten kommen kannst, stoppe sofort und melde es.
- Veröffentliche die Schwachstelle erst nach Behebung oder nach 90 Tagen — je nachdem was zuerst eintritt.
Scope
Im Scope liegen alle Heritavo-betriebenen Hosts unter heritavo.com. Andere Heritavo-Domains (z. B. heritavo.ch, heritavo.de) sind reine Weiterleitungen auf heritavo.com und haben keinen eigenen Scope. Out of Scope sind verlinkte Drittanbieter, reine Spam-/Phishing-Reports und automatisierte Scanner-Findings ohne konkreten Impact.
Zero-Knowledge-Modell
Heritavo verschlüsselt Vault-Inhalte client-seitig vor Upload. Der Server hat keinen Zugriff auf den Master-Key. Selbst ein vollständiger DB-Leak gibt einem Angreifer keinen Zugriff auf entschlüsselte Vault-Daten — vorausgesetzt das User-Passwort ist stark genug, um Argon2id-Bruteforce zu widerstehen. Findings, die diese Invariante brechen, behandeln wir mit höchster Priorität.
Stand: Mai 2026