מדיניות גילוי אחראי של חולשות אבטחה (VDP)

אנו מעריכים מחקרי אבטחה ומקבלים דיווחים בתום לב. בדיקות חדירה חיצוניות כרגע לא מקבלים.

תחום

• skyalo.com, *.skyalo.com

• אפליקציות המובייל של Skyalo (גרסאות ציבוריות עדכניות)

מחוץ לתחום: שירותי צד שלישי, DoS/הצפה, Brute force, הנדסה חברתית, תקיפות פיזיות, ספאם/דוחות DMARC, חשיפת גרסאות ללא השפעה, clickjacking ללא השפעה מוכחת, כותרות חסרות ללא ניצול (exploit).

כללים

• פעלו בתום לב, והימנעו מפגיעה בפרטיות ומפגיעה בזמינות/איכות השירות.

• השתמשו רק בחשבונות/בנתונים שלכם.

• אל תיגשו לנתונים שאינם שלכם ואל תשנו אותם. אם נחשפתם אליהם במקרה — עצרו מיד ודווחו לנו.

• אל תשתמשו בסריקות אוטומטיות שעלולות להשפיע על זמינות/יציבות.

איך לשלוח דיווח

שלחו מייל ל‑[email protected], וצירפו:

• הוסט/endpoint מושפע והסביבה

• צעדים ברורים לשחזור

• PoC מינימלי (בקשת/תגובה HTTP, צילומי מסך)

• הערכת השפעה וחומרה (מומלץ CVSS v3.1)

• חלון זמן לבדיקות וכתובות IP מקור

אל תשלחו סודות במייל (פרטי התחברות, טוקנים, דאמפים של מסד נתונים) — טשטשו מידע רגיש.

Safe Harbor

בכפוף לעמידה במדיניות זו, לא ננקוט צעדים משפטיים ונראה בפעולותיכם כפעולות מורשות לצורך הדיווח.

תגמולים והוקרה

תגמול כספי כרגע לא ניתן. עבור דיווחים מאומתים ולא כפולים — הוקרה פומבית (Hall of Fame) ובבקשה — מכתב תודה. דיווחים כפולים עשויים להיסגר ללא הוקרה נוספת; הקרדיט יינתן לדיווח התקף הראשון.

לוחות זמנים ו‑SLA

• אישור קבלה: בתוך 3 ימי עבודה

• סטטוס לאחר triage: בהתאם לתוצאות הבדיקה

• גילוי מתואם: נא לא לפרסם פרטים לפני יציאת התיקון (עד 90 ימים)

יעדי תיקון: Critical — 7 ימים; High — 30 ימים; Medium — 90 ימים; Low — לפי התכנון. במקרה של אי־התאמות, הגרסה באנגלית היא הקובעת.