Patakaran sa Responsableng Pagbubunyag ng mga Kahinaan (VDP)

Pinahahalagahan namin ang pananaliksik sa seguridad at tumatanggap ng mga ulat na may mabuting layunin. Hindi muna namin tinatanggap ang panlabas na pentest hindi muna tinatanggap.

Saklaw

• skyalo.com , *.skyalo.com

• Mga mobile app ng Skyalo (kasalukuyang pampublikong bersyon)

Hindi saklaw: mga third-party na serbisyo, DoS/flood, brute force, social engineering, pisikal na pag-atake, spam/DMARC reports, pagbubunyag ng bersyon na walang epekto, clickjacking na walang napatunayang epekto, mga nawawalang header na walang eksploit.

Mga Patakaran

• Magsagawa nang may mabuting layunin, iwasan ang paglabag sa privacy at ang pagbagal o pagkasira ng serbisyo.

• Gumamit lamang ng sarili mong mga account/data.

• Huwag kumuha o baguhin ang data na hindi sa iyo. Kapag aksidenteng nakakita ka ng access, itigil agad at ipaalam sa amin.

• Huwag gumamit ng awtomatikong pag-scan na nakaaapekto sa availability o stability.

Paano magsumite ng ulat

Sumulat sa [email protected], at isama ang:

• Apektadong host/endpoint at environment

• Malinaw na mga hakbang para ma-reproduce

• Pinakamababang PoC (HTTP request/response, mga screenshot)

• Pagtataya ng epekto at tindi (mas mainam ang CVSS v3.1)

• Window ng pagsusuri at mga IP address na ginamit

Huwag magpadala ng mga secret sa e-mail (mga kredensyal, token, database dump) — i-mask ang sensitibong impormasyon.

Safe Harbor

Kapag sinunod ang patakarang ito, hindi kami magsasagawa ng legal na aksyon at ituturing naming awtorisado ang inyong mga kilos para sa layunin ng pag-uulat.

Mga Gantimpala at Pagkilala

Sa ngayon, walang nakalaang cash reward. Para sa mga kumpirmado at hindi duplicate na ulat — pampublikong pagkilala (Hall of Fame) at, kung hihilingin, isang liham-pasasalamat. Maaaring isara ang mga duplicate nang walang karagdagang pagkilala; ang unang valid na ulat ang makakakuha ng credit.

Mga Deadline at SLA

• Kumpirmasyon ng pagtanggap: sa loob ng 3 araw ng negosyo

• Status pagkatapos ng triage: batay sa resulta ng pagsusuri

• Coordinated disclosure: hinihiling naming huwag ilathala ang mga detalye hanggang mailabas ang ayos (hanggang 90 araw)

Mga target sa pag-aayos: Critical — 7 araw; High — 30 araw; Medium — 90 araw; Low — ayon sa plano.