Sicherheitslücke melden (Responsible Disclosure) | Locari

Stand: Juni 2026

Die Sicherheit der Daten unserer Vermieter und ihrer Mietinteressenten hat für uns hohe Priorität. Trotz sorgfältiger Entwicklung können Sicherheitslücken entstehen. Wenn du eine findest, bitten wir dich, sie uns verantwortungsvoll und vertraulich zu melden, bevor du sie veröffentlichst — damit wir sie beheben können, ohne dass Nutzer gefährdet werden.

1. Geltungsbereich

Dieser Meldeprozess gilt für die von Locari betriebenen Dienste, insbesondere:

die Website locari.ai und die Web-Anwendung,
die zugehörigen APIs und Backend-Dienste,
die WhatsApp- und E-Mail-Kommunikationswege von Locari.

Nicht in den Geltungsbereich fallen Systeme von Drittanbietern (z. B. Hosting-, Zahlungs- oder Kommunikationsdienstleister). Vermutete Schwachstellen bei diesen Anbietern melde bitte direkt dort; gib uns aber gern einen Hinweis, damit wir nachfassen können.

2. So meldest du eine Schwachstelle

Schicke uns deine Meldung am besten verschlüsselbar per E-Mail an unser Security-Team: security@locari.ai. Alternativ kannst du das Kontaktformular nutzen.

Damit wir die Meldung schnell einordnen und reproduzieren können, hilft uns Folgendes:

eine Beschreibung der Schwachstelle und der betroffenen Komponente (URL, Endpoint, Funktion),
nachvollziehbare Schritte zur Reproduktion (Proof of Concept),
eine Einschätzung der möglichen Auswirkungen,
optional: wie wir dich für Rückfragen erreichen.

3. Was wir zusagen

Bestätigung: Wir bestätigen den Eingang deiner Meldung zeitnah.
Bearbeitung: Wir prüfen die gemeldete Schwachstelle, halten dich über den Stand auf dem Laufenden und informieren dich, sobald sie behoben ist.
Vertraulichkeit: Wir behandeln deine Meldung vertraulich und geben deine personenbezogenen Daten nicht ohne deine Zustimmung an Dritte weiter.
Anerkennung: Auf Wunsch nennen wir dich nach Behebung gern als Finder der Schwachstelle.

Bitte beachte: Wir betreiben derzeit kein Bug-Bounty-Programm und können für Meldungen keine Geldprämien zusagen.

4. Was du bitte unterlässt

Damit Nutzer und ihre Daten geschützt bleiben, bitten wir dich beim Testen, Folgendes zu unterlassen:

auf personenbezogene Daten Dritter zuzugreifen, sie zu verändern, zu kopieren oder abzuziehen — beschränke deine Tests auf eigene Test-Accounts,
die Verfügbarkeit oder Integrität der Dienste zu beeinträchtigen (z. B. Denial-of-Service-Angriffe, Spam, automatisiertes Massen-Scanning),
Social-Engineering- oder Phishing-Angriffe gegen unsere Mitarbeitenden oder Nutzer,
die Schwachstelle zu veröffentlichen oder an Dritte weiterzugeben, bevor wir sie behoben haben und du dich mit uns abgestimmt hast.

5. Gutgläubige Meldung

Wenn du dich an diese Richtlinie hältst und in gutem Glauben handelst, werten wir das als erwünschten Beitrag zur Sicherheit unserer Nutzer. In diesem Fall werden wir wegen deiner Sicherheitsforschung keine rechtlichen Schritte gegen dich einleiten und nicht auf eine Strafverfolgung hinwirken. Diese Zusage gilt nicht, soweit du vorsätzlich Schaden anrichtest, gegen die unter Ziffer 4 genannten Punkte verstößt oder geltendes Recht verletzt.

Stand: Juni 2026

1. Geltungsbereich

Dieser Meldeprozess gilt für die von Locari betriebenen Dienste, insbesondere:

die Website locari.ai und die Web-Anwendung,

die zugehörigen APIs und Backend-Dienste,

die WhatsApp- und E-Mail-Kommunikationswege von Locari.

2. So meldest du eine Schwachstelle

Schicke uns deine Meldung am besten verschlüsselbar per E-Mail an unser Security-Team: security@locari.ai. Alternativ kannst du das Kontaktformular nutzen.

Damit wir die Meldung schnell einordnen und reproduzieren können, hilft uns Folgendes:

eine Beschreibung der Schwachstelle und der betroffenen Komponente (URL, Endpoint, Funktion),

nachvollziehbare Schritte zur Reproduktion (Proof of Concept),

eine Einschätzung der möglichen Auswirkungen,

optional: wie wir dich für Rückfragen erreichen.

3. Was wir zusagen

Bestätigung: Wir bestätigen den Eingang deiner Meldung zeitnah.

Bearbeitung: Wir prüfen die gemeldete Schwachstelle, halten dich über den Stand auf dem Laufenden und informieren dich, sobald sie behoben ist.

Vertraulichkeit: Wir behandeln deine Meldung vertraulich und geben deine personenbezogenen Daten nicht ohne deine Zustimmung an Dritte weiter.

Anerkennung: Auf Wunsch nennen wir dich nach Behebung gern als Finder der Schwachstelle.

Bitte beachte: Wir betreiben derzeit kein Bug-Bounty-Programm und können für Meldungen keine Geldprämien zusagen.

4. Was du bitte unterlässt

Damit Nutzer und ihre Daten geschützt bleiben, bitten wir dich beim Testen, Folgendes zu unterlassen:

auf personenbezogene Daten Dritter zuzugreifen, sie zu verändern, zu kopieren oder abzuziehen — beschränke deine Tests auf eigene Test-Accounts,

die Verfügbarkeit oder Integrität der Dienste zu beeinträchtigen (z. B. Denial-of-Service-Angriffe, Spam, automatisiertes Massen-Scanning),

Social-Engineering- oder Phishing-Angriffe gegen unsere Mitarbeitenden oder Nutzer,

die Schwachstelle zu veröffentlichen oder an Dritte weiterzugeben, bevor wir sie behoben haben und du dich mit uns abgestimmt hast.

5. Gutgläubige Meldung