Политика за отговорно разкриване на уязвимости (VDP)

Оценяваме изследванията в областта на сигурността и приемаме добросъвестни доклади. Външни пентестове към момента не приемаме.

Обхват

• skyalo.com, *.skyalo.com

• Мобилните приложения на Skyalo (актуални публични версии)

Извън обхвата: услуги на трети страни, DoS/flood, brute force, социално инженерство, физически атаки, спам/DMARC доклади, разкриване на версии без въздействие, clickjacking без доказано въздействие, липсващи заглавки без експлойт.

Правила

• Действайте добросъвестно, избягвайте нарушаване на личното пространство и влошаване на услугата.

• Използвайте само свои акаунти/данни.

• Не получавайте и не променяйте данни, които не са ваши. При случаен достъп — спрете незабавно и ни уведомете.

• Не използвайте автоматизирано сканиране, което влияе на наличността/стабилността.

Как да изпратите доклад

Пишете на [email protected], приложете:

• Засегнат хост/ендпоинт и среда

• Ясни стъпки за възпроизвеждане

• Минимален PoC (HTTP заявка/отговор, екранни снимки)

• Оценка на въздействието и сериозността (за предпочитане CVSS v3.1)

• Прозорец на тестване и изходни IP адреси

Не изпращайте тайни по имейл (учетни данни, токени, дъмпове на БД) — маскирайте чувствителното.

Safe Harbor

Ако спазвате тази политика, няма да предприемаме правни действия и считаме действията ви за упълномощени с цел докладване.

Награди и признание

В момента не са предвидени парични възнаграждения. За потвърдени, недублиращи се доклади — публично признание (Hall of Fame) и, при поискване, благодарствено писмо. Дубликатите могат да бъдат затваряни без допълнително признание; кредит получава първият валиден доклад.

Срокове и SLA

• Потвърждение за получаване: в рамките на 3 работни дни

• Статус след triage: според резултата от прегледа

• Координирано разкриване: молим да не публикувате подробности до излизане на поправката (до 90 дни)

Цели за отстраняване: Critical — 7 дни; High — 30 дни; Medium — 90 дни; Low — по план.