Sebezhetőségi bejelentési szabályzat (VDP)

Nagyra értékeljük a biztonsági kutatást, és szívesen fogadjuk a jóhiszemű bejelentéseket. Jelenleg külső penteszteket nem fogadunk el.

Hatókör

• skyalo.com, *.skyalo.com

• Skyalo mobilalkalmazások (legfrissebb nyilvános verziók)

Hatókörön kívül: harmadik fél szolgáltatásai, DoS/forgalomárasztás, brute force, social engineering, fizikai támadások, spam/DMARC jelentések, hatás nélküli verzióközlés, igazolt hatás nélküli clickjacking, hiányzó biztonsági headerek exploit nélkül.

Együttműködési szabályok

• Járj el jóhiszeműen, és kerüld az adatvédelmi jogsértéseket vagy a szolgáltatás romlását.

• Csak a saját fiókjaidat/adataidat használd.

• Ne férj hozzá és ne módosíts olyan adatokat, amelyek nem a tieid. Ha véletlenül nem nyilvános adatokhoz férsz hozzá, azonnal állj le, és értesíts minket.

• Nincs olyan automatizált szkennelés, amely az elérhetőséget vagy a stabilitást befolyásolja.

Hogyan jelentsd

E-mail [email protected] a következőkkel:

• Érintett hoszt/végpont és környezet

• Egyértelmű reprodukciós lépések

• Minimális PoC (HTTP kérés/válasz, képernyőképek)

• Hatásértékelés és becsült súlyosság (CVSS v3.1 előnyben)

• Tesztelési időablak és forrás IP-k

Kérjük, ne küldj titkokat (hitelesítő adatok, tokenek, nyers adatbázis-dumpok) e-mailben; a bizalmas adatokat takard ki vagy maszkolt formában add meg. Ha titkosításra van szükséged, vedd fel velünk a kapcsolatot, és megszervezzük a biztonságos megoldást.

Safe harbor

Ha betartod ezt a szabályzatot, nem indítunk jogi eljárást, és a kutatásodat az issue bejelentésének korlátozott céljára engedélyezettnek tekintjük.

Jutalmak és elismerés

Jelenleg nem kínálunk pénzbeli jutalmat. Az igazolt, nem duplikált hibákért nyilvános elismerést (Dicsőségfal) és kérésre köszönőlevelet adunk. A duplikált bejelentéseket további elismerés nélkül lezárhatjuk; a kredit az elsőként beérkező érvényes bejelentést illeti.

Határidők és SLA-k

• Visszaigazolás: 3 munkanapon belül

• Triázs állapotfrissítés: felülvizsgálat után

• Koordinált közzététel: kérjük, ne tedd közzé a részleteket, amíg a javítás el nem érhető (legfeljebb 90 napig)

Célzott javítási határidő: Kritikus: 7 nap; Magas: 30 nap; Közepes: 90 nap; Alacsony: backlog/ütemezés szerint.