Politika odgovornega razkritja ranljivosti (VDP)

Cenimo varnostne raziskave in sprejemamo dobronamerna poročila. Zunanjih pentestov trenutno ne sprejemamo.

Obseg

• skyalo.comin *.skyalo.com

• Mobilne aplikacije Skyalo (trenutne javno dostopne različice)

Izven obsega: storitve tretjih oseb, DoS/flood, brute force, socialni inženiring, fizični napadi, spam/DMARC poročila, razkritje različic brez vpliva, clickjacking brez dokazanega vpliva, manjkajoče glave brez izkoriščanja.

Pravila

• Delujte dobronamerno ter se izogibajte kršitvam zasebnosti in poslabšanju delovanja storitve.

• Uporabljajte le svoje račune/podatke.

• Ne dostopajte do podatkov, ki vam ne pripadajo, in jih ne spreminjajte. Ob nenamernem dostopu takoj prenehajte in nas obvestite.

• Ne uporabljajte samodejnega skeniranja, ki vpliva na razpoložljivost/stabilnost.

Kako oddati poročilo

Pišite na [email protected], priložite:

• Prizadeti gostitelj/končna točka in okolje

• Natančni koraki za ponovitev

• Minimalni PoC (HTTP zahteva/odgovor, posnetki zaslona)

• Oceno vpliva in resnosti (po možnosti CVSS v3.1)

• Testno obdobje in izvorni IP naslovi

Ne pošiljajte skrivnosti po e-pošti (podatki za prijavo, žetoni, izpisi podatkovnih zbirk) — občutljive podatke zamaskirajte.

Safe Harbor

Če spoštujete to politiko, ne bomo uvedli pravnih ukrepov in bomo vaša dejanja šteli za pooblaščena za namen prijave.

Nagrade in priznanje

Denarne nagrade trenutno niso predvidene. Za potrjena, nedvojena poročila — javna zahvala (Hall of Fame) in na zahtevo zahvalno pismo. Dvojniki se lahko zaprejo brez dodatnega priznanja; priznanje prejme prvo veljavno poročilo.

Roki in SLA

• Potrditev prejema: v roku 3 delovnih dni

• Status po triagi: glede na rezultat pregleda

• Usklajeno razkritje: prosimo, da podrobnosti ne objavite do izdaje popravka (do 90 dni)

Cilji popravil: Kritično — 7 dni; Visoko — 30 dni; Srednje — 90 dni; Nizko — po načrtu.