Politik for ansvarlig offentliggørelse af sårbarheder (VDP)

Vi værdsætter sikkerhedsforskning og modtager godtroende rapporter. Eksterne pentests accepterer vi i øjeblikket ikke.

Scope

• skyalo.com, *.skyalo.com

• Skyalo mobilapps (aktuelle offentlige versioner)

Uden for scope: tredjepartstjenester, DoS/flooding, bruteforce, social engineering, fysiske angreb, spam/DMARC-rapporter, versionsoplysninger uden påvirkning, clickjacking uden dokumenteret effekt, manglende headere uden exploit.

Regler

• Opfør dig i god tro, og undgå at krænke privatliv eller forringe tjenesten.

• Brug kun dine egne konti/data.

• Tilgå eller ændr ikke data, der ikke tilhører dig. Hvis du ved et uheld får adgang, skal du straks stoppe og kontakte os.

• Brug ikke automatisk scanning, der påvirker tilgængelighed eller stabilitet.

Sådan sender du en rapport

Skriv til [email protected], og vedhæft:

• Påvirket host/endpoint og miljø

• Klar reproduktionstrin

• Minimal PoC (HTTP-request/response, screenshots)

• Vurdering af effekt og alvorlighed (helst CVSS v3.1)

• Testvindue og oprindelige IP-adresser

Send ikke hemmeligheder via e-mail (loginoplysninger, tokens, DB-dumps) — maskér følsomme oplysninger.

Safe Harbor

Når du følger denne politik, vil vi ikke foretage juridiske skridt og anser dine handlinger for autoriserede i forbindelse med rapportering.

Belønninger og anerkendelse

Der er i øjeblikket ingen pengepræmier.For bekræftede, ikke-duplicerede rapporter — offentlig anerkendelse (Hall of Fame)

og efter anmodning et takkebrev. Dubletter kan lukkes uden yderligere anerkendelse; kredit gives til den første gyldige rapport.

• Tidsfrister og SLABekræftelse af modtagelse: inden for

• 3 arbejdsdage

• Status efter triage: efter gennemgangKoordineret offentliggørelse: vi beder dig om ikke at offentliggøre detaljer før rettelsen er udgivet (op til 90 dage

)Målsætninger for rettelser: