Security & Bug Bounty

Hilf uns, Zahlungen sicher zu halten.

Wir behandeln Geld und sensible Daten tausender Betriebe. Findest du eine Sicherheitslücke, belohnen wir dich – fair und schnell.

Sicherheitslücke melden Prämien ansehen

Prämien nach Schweregrad

Die Höhe richtet sich nach Impact und Ausnutzbarkeit (CVSS). Endgültige Einstufung trifft unser Security-Team.

KRITISCH

RCE, Zugriff auf Zahlungsdaten, Umgehung der Authentifizierung im großen Stil.

CVSS 9.0–10.0

HOCH

Account-Übernahme, signifikante Datenlecks, IDOR auf sensible Ressourcen.

CVSS 7.0–8.9

MITTEL

Stored XSS, CSRF mit Wirkung, Rechteausweitung mit Einschränkungen.

CVSS 4.0–6.9

NIEDRIG

Kleinere Info-Leaks, Konfigurationsschwächen mit geringem Impact.

CVSS 0.1–3.9

Scope

Wo du suchen darfst

Alle produktiven LEVIAPAY-Systeme sind Teil des Programms. Folgendes ist ausdrücklich ausgenommen:

Social Engineering, Phishing gegen Mitarbeitende oder Kund:innen
DoS/DDoS und volumetrische Lasttests
Reine Best-Practice-Hinweise ohne nachweisbaren Impact (z. B. fehlende Header)
Schwachstellen in Drittanbieter-Diensten ohne LEVIAPAY-Bezug
Automatisierte Scanner-Reports ohne validierten PoC

Aktive Targets

app.leviapay.com

Händler-Dashboard & Web-App

Web

api.leviapay.com

Öffentliche & interne APIs

API

wiki.leviapay.com

Hilfe-Center & Support

Web

LEVIAPAY iOS & Android

Aktuelle App-Versionen

Mobile

*.leviapay.com

Weitere produktive Subdomains

Infra

So läuft's ab

Melden

Reiche deinen Report über das Formular oder per PGP-Mail ein.

Triage

Wir bestätigen den Eingang in < 2 Werktagen und prüfen den Befund.

Fix

Wir beheben die Lücke und halten dich über den Fortschritt auf dem Laufenden.

Prämie

Nach Verifizierung zahlen wir die Prämie und nehmen dich (optional) in die Hall of Fame auf.

Spielregeln

Teste nur mit eigenen Test-Accounts – greife nie auf fremde Daten zu.
Keine Datenexfiltration, -veränderung oder -löschung. PoC minimal halten.
Gib uns angemessene Zeit zur Behebung, bevor du etwas veröffentlichst (Coordinated Disclosure, i. d. R. 90 Tage).
Eine Prämie pro eindeutiger Schwachstelle – Duplikate erhalten die erste valide Meldung.
Halte dich an geltendes Recht und beeinträchtige nicht den laufenden Betrieb.

Safe Harbor

Wer sich an diese Regeln hält und in gutem Glauben forscht, muss keine rechtlichen Schritte unsererseits befürchten. Wir betrachten solche Forschung als autorisiert und arbeiten mit dir an einer zügigen Behebung.

Jetzt melden

Hall of Fame

Danke an die Forscher:innen, die LEVIAPAY sicherer machen.

@n0va_sec

9 Funde

@bytewitch

7 Funde

@kr1ll

6 Funde

@m4ple

5 Funde

@oxide

4 Funde

@sn0wcap

4 Funde

@v3ctor

3 Funde

@lina.h

3 Funde

Eine Lücke gefunden?

Reiche deinen Report ein – verschlüsselt möglich via PGP. Wir antworten innerhalb von 2 Werktagen.

Report einreichen security@leviapay.com