Atsakingo pažeidžiamumų atskleidimo politika (VDP)

Vertiname saugumo tyrimus ir priimame sąžiningai pateiktus pranešimus. Išorinių pentestų šiuo metu nepriimame.

Taikymo sritis

• skyalo.com, *.skyalo.com

• Skyalo mobiliosios programėlės (dabartinės viešos versijos)

Ne taikymo sritis: trečiųjų šalių paslaugos, DoS/flood, brute force atakos, socialinė inžinerija, fizinės atakos, šlamštas/DMARC ataskaitos, versijų atskleidimas be poveikio, clickjacking be įrodyto poveikio, trūkstami antraštės laukai be išnaudojimo.

Taisyklės

• Veikite sąžiningai, venkite privatumo pažeidimų ir paslaugos našumo bloginimo.

• Naudokite tik savo paskyras / savo duomenis.

• Negaukite ir nekeiskite duomenų, kurie jums nepriklauso. Jei prieigą gavote netyčia — nedelsdami sustokite ir praneškite mums.

• Nenaudokite automatinio skenavimo, kuris gali paveikti pasiekiamumą ar stabilumą.

Kaip pateikti ataskaitą

Rašykite į [email protected], pridėkite:

• Pažeistas hostas / endpointas ir aplinka

• Aiškius atkūrimo žingsnius

• Minimalų PoC (HTTP užklausa / atsakymas, ekrano nuotraukos)

• Poveikio ir rimtumo įvertinimą (pageidautina CVSS v3.1)

• Testavimo langą ir pradines IP adresų reikšmes

Nesiųskite slaptų duomenų el. paštu (prisijungimo duomenų, tokenų, DB išrašų) — jautrią informaciją užmaskuokite.

Safe Harbor

Laikydamiesi šios politikos, mes nesiimsime teisinių veiksmų ir laikysime jūsų veiksmus autorizuotais pranešimo tikslais.

Apdovanojimai ir pripažinimas

Piniginių atlygių šiuo metu nenumatyta. Už patvirtintus, nedubliuojančius pranešimus — vieša padėka (Hall of Fame) ir, jūsų prašymu, padėkos laiškas. Dubliuojantys pranešimai gali būti uždaryti be papildomo pripažinimo; kreditą gauna pirmasis galiojantis pranešimas.

Terminai ir SLA

• Gavimo patvirtinimas: per 3 darbo dienas

• Būsena po triage: pagal peržiūros rezultatus

• Koordinuotas atskleidimas: prašome neskelbti detalių iki pataisos išleidimo (iki 90 dienų)

Pataisymų terminai: Critical — 7 dienos; High — 30 dienų; Medium — 90 dienų; Low — pagal planą.