Crate.tf

Crate.tf

Responsible-Disclosure-Richtlinie

Gültig ab: 28. Januar 2026

Hinweis zur Übersetzung

Diese Übersetzung wird nur zur besseren Verständlichkeit bereitgestellt. Bei Konflikten oder Bedeutungsunterschieden ist die englische Version maßgeblich.

Crate.tf („wir“, „uns“, „unser“) legt Wert auf die Sicherheit unserer Nutzer und unseres Dienstes. Wenn du eine Sicherheitslücke entdeckst, schätzen wir verantwortungsvolle Meldungen in gutem Glauben, damit wir sie beheben können.

Diese Richtlinie beschreibt, wie Schwachstellen gemeldet werden können und was wir dich beim Testen bitten zu tun (und nicht zu tun).

1) Geltungsbereich

Diese Richtlinie gilt für Sicherheitslücken, die Folgendes betreffen:

  • Crate.tf (Website, APIs/Endpunkte und Backend-Dienste)
  • Crate.tf-Infrastruktur, die den Dienst direkt unterstützt
  • Crate.tf-Trading-Orchestrierung (einschließlich Transaktionsplanung/Reservierungslogik)
  • Crate.tf-eigene Bot-Integration, soweit sie über unseren Dienst sichtbar ist (nicht Steam selbst)

Außerhalb des Geltungsbereichs (Beispiele):

  • Schwachstellen in Steam/Valve-Systemen oder im Steam-Client
  • Probleme in Drittanbieterdiensten, die wir nicht kontrollieren (melde diese bitte dem Anbieter)
  • Social-Engineering-Angriffe gegen Nutzer oder Mitarbeitende
  • Physische Angriffe, Rechenzentrumsangriffe oder Gerätekompromittierung
  • „Schwachstellen“, die gültige Zugangsdaten erfordern, die dir nicht gehören
  • Spam, Self-XSS oder rein theoretische Probleme ohne nachweisbare Sicherheitsauswirkung

Wenn du unsicher bist, ob etwas im Geltungsbereich liegt, melde es trotzdem - wir sagen dir Bescheid.

2) Wie du eine Schwachstelle meldest

Bitte melde Probleme an:

  • E-Mail: support@crate.tf
  • Betreff: Security report: kurze Beschreibung

Wenn E-Mail nicht möglich ist, kannst du uns über unseren offiziellen Discord-Supportkanal kontaktieren; für sensible Details bevorzugen wir jedoch E-Mail.

Füge so viel wie möglich bei:

  • eine klare Beschreibung des Problems und warum es relevant ist
  • Schritte zur Reproduktion (Proof of Concept ist hilfreich)
  • betroffene URLs/Endpunkte, Parameter und relevante Request-/Response-Beispiele
  • Einschätzung der Auswirkung (was könnte ein Angreifer tun?)
  • Screenshots oder Logs, falls relevant
  • deine bevorzugten Kontaktdaten (und ob du öffentlich genannt werden möchtest)

3) Safe Harbor für Sicherheitsforschung in gutem Glauben

Wir werden keine rechtlichen Schritte gegen dich verfolgen, wenn du verantwortungsvolle Sicherheitsforschung in gutem Glauben betreibst und diese Richtlinie einhältst.

Um unter Safe Harbor zu fallen, musst du:

  • in gutem Glauben versuchen, Datenschutzverletzungen, Datenzerstörung und Dienstunterbrechungen zu vermeiden
  • Tests beenden und zeitnah melden, sobald du eine Schwachstelle bestätigt hast
  • die Schwachstelle nicht nutzen, um dir einen unfairen Vorteil zu verschaffen (einschließlich Item-Gewinn) oder anderen zu schaden
  • Details nicht öffentlich offenlegen, bevor wir eine angemessene Gelegenheit zur Behebung hatten

Dieser Safe Harbor gilt nicht für:

  • Aktivitäten, die auf Erpressung, Drohung oder Nötigung abzielen
  • Versuche, auf Daten zuzugreifen oder sie zu ändern, die nicht dir gehören
  • Tests, die den Dienst für Nutzer verschlechtern, stören oder verweigern
  • Tests, die Systeme Dritter (Steam/Valve) angreifen oder deren Regeln verletzen

4) Was du bitte NICHT tun sollst

Zum Schutz der Nutzer und des Dienstes tue bitte Folgendes nicht:

  • personenbezogene Daten oder Daten anderer Nutzer abrufen, herunterladen oder offenlegen
  • versuchen, Transaktionen anderer Nutzer abzufangen oder zu verändern
  • Schwachstellen ausnutzen, um TF2-Items, Keys oder andere Vorteile zu erhalten
  • automatisiertes Scanning, Brute Force, Credential Stuffing oder Denial-of-Service-Tests durchführen
  • Bots/Skripte nutzen, um Endpunkte, Statusabfragen oder Preis-/Katalogendpunkte zu überlasten
  • Schwachstellen öffentlich offenlegen, bevor wir sie bestätigt und behoben haben
  • Social Engineering gegen Mitarbeitende oder Nutzer betreiben oder versuchen, privilegierten Zugriff zu erhalten

5) Testrichtlinien (was erlaubt ist)

Wir betrachten Folgendes im Allgemeinen als in gutem Glauben akzeptabel:

  • Tests gegen dein eigenes Konto und deine eigenen Daten
  • minimale Proof-of-Concept-Demonstrationen, die Auswirkungen zeigen, ohne anderen zu schaden
  • Meldungen mit ausreichend Details, damit wir reproduzieren und beheben können

Wenn du ein Testkonto benötigst oder einen kontrollierten Test koordinieren möchtest, kontaktiere uns zuerst.

6) Unser Prozess und unsere Reaktion

Wir bemühen uns:

  • deine Meldung innerhalb angemessener Zeit zu bestätigen
  • zu untersuchen und an einer Behebung zu arbeiten
  • praktikable Statusupdates zu geben
  • dich öffentlich zu nennen, wenn du dies wünschst und es angemessen ist (optional)

Da Crate.tf ein kleines Projekt ist, können Zeitpläne variieren. Schwachstellen mit hoher Auswirkung werden priorisiert.

7) Vertraulichkeit und öffentliche Offenlegung

Bitte halte Details zu Schwachstellen vertraulich, bis:

  • wir bestätigen, dass das Problem behoben ist, oder
  • wir dir mitteilen, dass eine Offenlegung in Ordnung ist, oder
  • eine angemessene Zeit vergangen ist und wir nicht geantwortet haben (kontaktiere uns vor Veröffentlichung erneut)

Wenn du veröffentlichen möchtest, bevorzugen wir koordinierte Offenlegung mit einem kurzen Bericht zu Erkenntnissen und Behebung, nicht zu Exploit-Details.

8) Kein Bug-Bounty-Programm

Crate.tf betreibt derzeit kein bezahltes Bug-Bounty-Programm. Wir können jedoch nach eigenem Ermessen nicht monetären Dank anbieten (öffentliche Nennung).

9) Kontakt

support@crate.tf (bevorzugt)

Discord-Supportkanal (sekundär)