Vastutustundliku turvaaukude avalikustamise poliitika (VDP)

Hindame turvaalaseid uuringuid ja võtame vastu heauskseid teateid. Väliseid penteste me praegu ei aktsepteeri.

Ulatus

• skyalo.com, *.skyalo.com

• Skyalo mobiilirakendused (kehtivad avalikud versioonid)

Väljaspool ulatust: kolmandate osapoolte teenused, DoS-/üleujutusrünnakud, brute force, sotsiaalmanipulatsioon, füüsilised rünnakud, spämm/DMARC-aruanded, versioonide avaldamine ilma mõjuta, clickjacking ilma tõendatud mõjuta, puuduvad päised ilma ärakasutamiseta.

Reeglid

• Tegutsege heauskselt ning vältige privaatsuse rikkumist ja teenuse halvendamist.

• Kasutage ainult enda kontosid/andmeid.

• Ärge hankige ega muutke andmeid, mis teile ei kuulu. Kui pääsete andmetele kogemata ligi, katkestage kohe tegevus ja teavitage meid.

• Ärge kasutage automaatset skannimist, mis mõjutab kättesaadavust/stabiilsust.

Kuidas raport saata

Kirjutage aadressile [email protected], lisage:

• Mõjutatud host/lõpp-punkt ja keskkond

• Selged taastekitamise sammud

• Minimaalne PoC (HTTP-päring/vastus, ekraanipildid)

• Mõju ja tõsiduse hinnang (soovitavalt CVSS v3.1)

• Testimise ajavahemik ja lähte-IP-d

Ärge saatke e-posti teel saladusi (sisselogimisandmed, tokenid, andmebaasi dump’id) — maskeerige tundlik teave.

Safe Harbor

Selle poliitika järgimisel ei algata me teie vastu õiguslikke samme ning käsitleme teie tegevust aruande esitamise eesmärgil volitatuna.

Auhinnad ja tunnustus

Rahalisi preemiaid ei ole praegu ette nähtud. Kinnitatud, mittetopeltteadete eest — avalik tänu (Hall of Fame) ja soovi korral tänukiri. Duplikaadid võidakse sulgeda ilma lisatunnustuseta; tunnustuse saab esimene kehtiv aruanne.

Tähtajad ja SLA

• Vastuvõtu kinnitus: kuni 3 tööpäeva

• jooksul

• Staatus pärast triage’i: vastavalt läbivaatamise tulemusteleKooskõlastatud avalikustamine: palume üksikasju mitte avaldada enne paranduse väljatulekut (kuni 90 päeva

)Parandamise eesmärgid: