Gelegentlich findet man keine sinnvolle Kontaktadresse für Security-Reports. So zum Beispiel erging es mir, als ich letztens der Bahn eine XSS-Lücke melden wollte.
/.well-known/security.txt
Bei der security.txt handelt es sich (noch) nicht um einen offiziellen Standard. Die Vorgehensweise und das Prinzip hinter dieser Datei wird unter https://securitytxt.org/ beschrieben. Bisher besitzen nur wenige Webseiten eine solche Datei. Ein Entwurf dazu befindet sich bereits bei der Internet Engineering Task Force.
Auch bei der Bahn wird man dazu fündig. Hier wurde ebenfalls eine solche Datei hinterlegt.
https://www.deutschebahn.com/.well-known/security.txt
Hätte ich das mal vorher gewusst 🙂