Kebijakan Pengungkapan Kerentanan yang Bertanggung Jawab (VDP)

Kami menghargai riset keamanan dan menerima laporan dengan itikad baik. Saat ini, kami tidak menerima.

Ruang lingkup

• skyalo.com, *.skyalo.com

• Aplikasi seluler Skyalo (versi publik terbaru)

Di luar cakupan: layanan pihak ketiga, DoS/flooding, brute force, rekayasa sosial, serangan fisik, spam/laporan DMARC, pengungkapan versi tanpa dampak, clickjacking tanpa dampak yang terbukti, header yang hilang tanpa eksploit.

Aturan

• Bertindaklah dengan itikad baik, hindari pelanggaran privasi dan penurunan layanan.

• Gunakan hanya akun/data milik Anda sendiri.

• Jangan mengakses atau mengubah data yang bukan milik Anda. Jika Anda tidak sengaja mengaksesnya, segera hentikan dan beri tahu kami.

• Jangan gunakan pemindaian otomatis yang memengaruhi ketersediaan/stabilitas.

Cara mengirim laporan

Kirim email ke [email protected], lampirkan:

• Host/endpoint yang terdampak dan lingkungan

• Langkah reproduksi yang jelas

• PoC minimal (permintaan/respons HTTP, tangkapan layar)

• Perkiraan dampak dan tingkat keparahan (disarankan CVSS v3.1)

• Jendela pengujian dan alamat IP asal

Jangan kirim rahasia via email (kredensial, token, dump basis data) — sensor informasi sensitif.

Safe Harbor

Jika Anda mematuhi kebijakan ini, kami tidak akan mengambil tindakan hukum dan menganggap aktivitas Anda berwenang untuk tujuan pelaporan.

Hadiah dan apresiasi

Saat ini tidak ada imbalan uang. Untuk laporan yang terverifikasi dan bukan duplikat — penghargaan publik (Hall of Fame) dan, atas permintaan, surat apresiasi. Duplikat dapat ditutup tanpa pengakuan tambahan; kredit diberikan kepada laporan valid pertama.

Jangka waktu dan SLA

• Konfirmasi penerimaan: dalam waktu 3 hari kerja

• Status setelah triase: sesuai hasil peninjauan

• Pengungkapan terkoordinasi: mohon jangan mempublikasikan detail hingga perbaikan dirilis (hingga 90 hari)

Target waktu perbaikan: Critical — 7 hari; High — 30 hari; Medium — 90 hari; Low — sesuai rencana.