Sicherheit & verantwortungsvolle Offenlegung

Sicherheit & verantwortungsvolle Offenlegung

Hokono schützt Kommunikation — deshalb nehmen wir Sicherheitsmeldungen ernst und begegnen ihnen mit Dank, nicht mit Anwälten. Wenn du eine Schwachstelle findest: melde sie uns zuerst, bevor du sie öffentlich machst.

So meldest du

  • E-Mail: security@hokono.app
  • PGP: Für verschlüsselte Meldungen richten wir gerade einen PGP-Schlüssel ein — Fingerprint und Schlüssel folgen in Kürze an dieser Stelle. Bis dahin genügt die E-Mail oben; sensible Details kannst du nach kurzer Kontaktaufnahme verschlüsselt nachreichen.
  • Bitte mit: betroffene Komponente/Version, Reproduktionsschritte, Auswirkung, ggf. Proof of Concept.

Hinweis: Wir betreiben unsere Server log-frei. Serverseitige Telemetrie zur Nachverfolgung existiert bewusst nicht — je klarer deine Reproduktionsschritte, desto schneller können wir bestätigen.

Umfang

Im Umfang: die iOS-App, der Krypto-Kern und das Protokoll, die Server-Software (Gateway, Mixnode, Notifier, Entry-Relay), diese Website.

Außerhalb des Umfangs: volumetrische DoS-/Lastangriffe; Social Engineering; physischer Zugriff auf fremde Geräte; Schwächen in Diensten Dritter (z. B. Apple APNs) an sich; sowie die bereits im Bedrohungsmodell offen benannten, bekannten Grenzen (etwa die aktuelle Ein-Betreiber-Lage oder die Push-Sichtbarkeit) — die sind dokumentiert, keine Neuentdeckung. Eine neue Ausnutzung darüber hinaus ist selbstverständlich willkommen.

Unsere Zusagen (koordinierte Offenlegung)

  • Empfangsbestätigung so schnell wie möglich, in der Regel binnen weniger Tage.
  • Ehrliche Einschätzung: Wir bestätigen oder widerlegen die Meldung nachvollziehbar.
  • Angemessene Frist vor Veröffentlichung: üblich sind bis zu 90 Tage; bei aktiv ausgenutzten Lücken schneller und in Abstimmung.
  • Nennung in einer öffentlichen Danksagung (auf deinen Wunsch, oder anonym).
  • Kein Geld-Bounty derzeit (kleines Projekt, ehrlich gesagt) — aber sichtbare, rasche Behebung und öffentlicher Dank.

Safe Harbor

Gutgläubige Sicherheitsforschung, die im obigen Umfang bleibt, die Privatsphäre Dritter respektiert, keine Daten zerstört und uns eine angemessene Frist einräumt, werden wir nicht rechtlich verfolgen. Im Zweifel: frag uns vorher.