Policy for ansvarlig sårbarhetsrapportering (VDP)

Vi setter pris på sikkerhetsforskning og tar imot rapporter i god tro. Eksterne pentester tar vi for tiden ikke imot.

Omfang

• skyalo.com, *.skyalo.com

• Skyalos mobilapper (gjeldende offentlige versjoner)

Utenfor omfang: tredjepartstjenester, DoS/flom, brute force, sosial manipulering, fysiske angrep, spam/DMARC-rapporter, versjonsavsløring uten påvirkning, clickjacking uten dokumentert effekt, manglende headere uten utnyttelse.

Regler

• Handle i god tro, og unngå å bryte personvern eller forringe tjenesten.

• Bruk bare dine egne kontoer/data.

• Ikke innhent eller endre data som ikke tilhører deg. Hvis du ved et uhell får tilgang, stopp umiddelbart og si fra til oss.

• Ikke bruk automatisert skanning som påvirker tilgjengelighet/stabilitet.

Slik sender du inn en rapport

Skriv til [email protected], og legg ved:

• Påvirket vert/endpoint og miljø

• Tydelige steg for å gjenskape

• Minimal PoC (HTTP-forespørsel/-svar, skjermbilder)

• Vurdering av påvirkning og alvorlighetsgrad (helst CVSS v3.1)

• Testvindu og opprinnelige IP-adresser

Ikke send hemmeligheter på e-post (påloggingsinformasjon, tokens, databaseutdrag) — maskér sensitiv informasjon.

Safe Harbor

Hvis du følger denne policyen, vil vi ikke iverksette rettslige skritt og anser handlingene dine som autoriserte for rapporteringsformål.

Belønning og anerkjennelse

Det er for tiden ingen kontantbelønninger. For bekreftede, ikke-dupliserte rapporter — offentlig takk (Hall of Fame) og, på forespørsel, et takkebrev. Duplikater kan lukkes uten ytterligere anerkjennelse; første gyldige rapport får kreditering.

Tidsfrister og SLA

• Bekreftelse på mottak: innen 3 virkedager

• Status etter triage: etter vurdering

• Koordinert offentliggjøring: vi ber deg om ikke å publisere detaljer før en fiks er lansert (opptil 90 dager)

Mål for utbedring: Kritisk — 7 dager; Høy — 30 dager; Middels — 90 dager; Lav — iht. plan.