Ievainojamību atbildīgas atklāšanas politika (VDP)

Mēs novērtējam drošības pētījumus un pieņemam labticīgus ziņojumus. Ārējus pentrācijas testus šobrīd nepieņemam.

Darbības joma

• skyalo.com, *.skyalo.com

• Skyalo mobilās lietotnes (aktuālās publiskās versijas)

Ārpus darbības jomas: trešo pušu pakalpojumi, DoS/plūdināšana, brutforce, sociālā inženierija, fiziski uzbrukumi, mēstules/DMARC ziņojumi, versiju atklāšana bez ietekmes, clickjacking bez pierādītas ietekmes, trūkstoši galvenes bez ekspluatācijas.

Noteikumi

• Rīkojieties labticīgi, izvairieties no privātuma pārkāpumiem un pakalpojuma darbības pasliktināšanas.

• Izmantojiet tikai savus kontus/datus.

• Nepiekļūstiet un nemainiet datus, kas jums nepieder. Ja piekļuve notikusi nejauši — nekavējoties pārtrauciet un informējiet mūs.

• Neizmantojiet automatizētu skenēšanu, kas ietekmē pieejamību/stabilitāti.

Kā iesniegt ziņojumu

Rakstiet uz [email protected], pievienojiet:

• Ietekmēto hostu/endpointu un vidi

• Skaidras reproducēšanas darbības

• Minimālu PoC (HTTP pieprasījums/atbilde, ekrānuzņēmumi)

• Ietekmes un nopietnības novērtējumu (vēlams CVSS v3.1)

• Testēšanas laika logu un sākotnējās IP adreses

Nesūtiet slepenas informācijas pa e-pastu (akreditācijas datus, tokenus, datubāzes dumpus) — maskējiet sensitīvo informāciju.

Safe Harbor

Ja ievērojat šo politiku, mēs neveiksim juridiskas darbības un uzskatīsim jūsu rīcību par autorizētu ziņošanas nolūkos.

Atlīdzības un atzinība

Naudas atlīdzības šobrīd nav paredzētas. Par apstiprinātiem, nedublētiem ziņojumiem — publiska pateicība (Hall of Fame) un, pēc pieprasījuma, pateicības vēstule. Dublikāti var tikt slēgti bez papildu atzinības; kredīts pienākas pirmajam derīgajam ziņojumam.

Termiņi un SLA

• Saņemšanas apstiprinājums: līdz 3 darba dienu

• Statuss pēc triāžas: pēc izskatīšanas rezultātiem

• Koordinēta atklāšana: lūdzam nepublicēt detaļas līdz labojuma iznākšanai (līdz 90 dienām)

Labojumu mērķtermiņi: Critical — 7 dienas; High — 30 dienas; Medium — 90 dienas; Low — pēc plāna.