Politika odgovornog otkrivanja ranjivosti (VDP)

Cijenimo sigurnosna istraživanja i prihvaćamo prijave u dobroj vjeri. Vanjske pentestove trenutačno ne prihvaćamo.

Opseg

• skyalo.com, *.skyalo.com

• Mobilne aplikacije Skyalo (trenutačne javne verzije)

Izvan opsega: usluge trećih strana, DoS/flooding, brute force, socijalni inženjering, fizički napadi, spam/DMARC izvješća, otkrivanje verzija bez utjecaja, clickjacking bez dokazanog utjecaja, nedostajući zaglavlja bez exploita.

Pravila

• Djelujte u dobroj vjeri, izbjegavajte narušavanje privatnosti i degradaciju usluge.

• Upotrebljavajte samo vlastite račune/podatke.

• Nemojte dobivati ni mijenjati podatke koji vam ne pripadaju. Ako do njih slučajno dođete, odmah stanite i obavijestite nas.

• Nemojte koristiti automatsko skeniranje koje utječe na dostupnost/stabilnost.

Kako poslati prijavu

Pišite na [email protected], priložite:

• Pogođeni host/endpoint i okruženje

• Jasne korake za reprodukciju

• Minimalni PoC (HTTP zahtjev/odgovor, snimke zaslona)

• Procjenu utjecaja i ozbiljnosti (po mogućnosti CVSS v3.1)

• Prozor testiranja i izvorne IP adrese

Ne šaljite tajne putem e-pošte (kredencijale, tokene, dumpove baza podataka) — prikrijte osjetljive podatke.

Safe Harbor

Ako se pridržavate ove politike, nećemo poduzimati pravne mjere i vaše ćemo postupke smatrati ovlaštenima u svrhu prijave.

Nagrade i priznanje

Novčane nagrade trenutačno nisu predviđene. Za potvrđena, neduplirana izvješća — javno priznanje (Hall of Fame) i, na zahtjev, zahvalno pismo. Duplikati se mogu zatvoriti bez dodatnog priznanja; zaslugu dobiva prva valjana prijava.

Rokovi i SLA

• Potvrda primitka: unutar 3 radna dana

• Status nakon triagea: prema rezultatima pregleda

• Koordinirano otkrivanje: molimo da ne objavljujete detalje do objave zakrpe (do 90 dana)

Ciljevi za ispravke: Critical — 7 dana; High — 30 dana; Medium — 90 dana; Low — prema planu.