Política de divulgació responsable de vulnerabilitats (VDP)

Agraïm la recerca en seguretat i acceptem informes fets de bona fe. Ara mateix no acceptem's.

Abast

• skyalo.com, *.skyalo.com

• Aplicacions mòbils de Skyalo (versions públiques actuals)

Fora d’abast: serveis de tercers, DoS/flooding, força bruta, enginyeria social, atacs físics, spam/informes DMARC, revelació de versions sense impacte, clickjacking sense impacte demostrat, capçaleres absents sense explotació.

Normes

• Actueu de bona fe, eviteu vulnerar la privacitat i degradar el servei.

• Feu servir només els vostres propis comptes/dades.

• No accediu ni modifiqueu dades que no us pertanyen. Si hi accediu per accident, atureu-vos immediatament i aviseu-nos.

• No feu servir escaneig automàtic que afecti la disponibilitat o l’estabilitat.

Com enviar un informe

Escriviu a [email protected], i adjunteu:

• Host/endpoint afectat i entorn

• Passos clars per reproduir-ho

• PoC mínim (petició/resposta HTTP, captures de pantalla)

• Avaluació de l’impacte i la gravetat (preferiblement CVSS v3.1)

• Finestra de prova i IP d’origen

No envieu secrets per correu electrònic (credencials, tokens, bolcats de BD) — emmascareu la informació sensible.

Safe Harbor

Si compliu aquesta política, no emprendrem accions legals i considerarem les vostres accions autoritzades amb finalitats d’informe.

Recompenses i reconeixement

Ara mateix no hi ha recompenses econòmiques. Per als informes verificats i no duplicats — agraïment públic (Hall of Fame) i, si ho demaneu, una carta d’agraïment. Els duplicats es poden tancar sense reconeixement addicional; el crèdit el rep el primer informe vàlid.

Terminis i SLA

• Confirmació de recepció: en un termini de 3 dies laborables

• Estat després del triatge: segons el resultat de la revisió

• Divulgació coordinada: demanem que no publiqueu els detalls fins que surti la correcció (fins a 90 dies)

Objectius de correcció: Crític — 7 dies; Alt — 30 dies; Mitjà — 90 dies; Baix — segons el pla.