भेद्यता जिम्मेदार प्रकटीकरण नीति (VDP)

हम सुरक्षा शोध को महत्व देते हैं और सद्भावना से भेजी गई रिपोर्टों को स्वीकार करते हैं। बाहरी पेंटेस्ट फिलहाल स्वीकार नहीं करते।

दायरा

• skyalo.com, *.skyalo.com

• Skyalo के मोबाइल ऐप्स (वर्तमान सार्वजनिक संस्करण)

दायरे से बाहर: तृतीय-पक्ष सेवाएँ, DoS/फ्लड, ब्रूट-फोर्स, सोशल इंजीनियरिंग, भौतिक हमले, स्पैम/DMARC रिपोर्ट, प्रभाव के बिना संस्करण-प्रकटीकरण, सिद्ध प्रभाव के बिना क्लिकजैकिंग, बिना exploit के गायब हेडर।

नियम

• सद्भावना से कार्य करें, गोपनीयता के उल्लंघन और सेवा में गिरावट से बचें।

• केवल अपने अकाउंट/डेटा का उपयोग करें।

• जो डेटा आपका नहीं है, उसे प्राप्त या संशोधित न करें। यदि गलती से पहुँच हो जाए — तुरंत रुकें और हमें सूचित करें।

• उपलब्धता/स्थिरता को प्रभावित करने वाला स्वचालित स्कैनिंग उपयोग न करें।

रिपोर्ट कैसे भेजें

ईमेल करें [email protected] पर, और यह शामिल करें:

• प्रभावित होस्ट/एंडपॉइंट और वातावरण

• स्पष्ट reproduction steps

• न्यूनतम PoC (HTTP request/response, screenshots)

• प्रभाव और गंभीरता का आकलन (CVSS v3.1 पसंदीदा)

• टेस्टिंग विंडो और स्रोत IPs

ईमेल में secrets न भेजें (credentials, tokens, DB dumps) — संवेदनशील जानकारी को mask करें।

Safe Harbor

इस नीति का पालन करने पर हम आपके विरुद्ध कानूनी कार्रवाई नहीं करेंगे और आपकी गतिविधियों को रिपोर्टिंग के उद्देश्य से अधिकृत मानेंगे।

इनाम और मान्यता

फिलहाल कोई नकद पुरस्कार उपलब्ध नहीं हैं। सत्यापित, गैर-डुप्लिकेट रिपोर्टों के लिए — Hall of Fame में सार्वजनिक धन्यवाद और, अनुरोध पर, एक धन्यवाद-पत्र। डुप्लिकेट रिपोर्टें बिना अतिरिक्त मान्यता के बंद की जा सकती हैं; श्रेय पहली वैध रिपोर्ट को मिलेगा।

समय-सीमाएँ और SLA

• प्राप्ति की पुष्टि: 3 कार्यदिवसों

• के भीतर

• Triage के बाद स्थिति: समीक्षा के परिणाम के अनुसारसमन्वित प्रकटीकरण: कृपया सुधार जारी होने तक विवरण प्रकाशित न करें (90 दिन

तक)फिक्स के लिए लक्ष्य: