Politika odgovornog otkrivanja ranjivosti (VDP)

Cenimo bezbednosna istraživanja i prihvatamo prijave u dobroj veri. Spoljne pentestove trenutno ne prihvatamo.

Obim

• skyalo.com*.skyalo.com

• Mobilne aplikacije Skyalo (aktuelne javne verzije)

Van obima: usluge trećih strana, DoS/flood, brute force, socijalni inženjering, fizički napadi, spam/DMARC prijave, otkrivanje verzija bez uticaja, clickjacking bez dokazanog uticaja, nedostajući zaglavlja bez exploita.

Pravila

• Postupajte u dobroj veri i izbegavajte narušavanje privatnosti i degradaciju usluge.

• Koristite samo svoje naloge/podatke.

• Ne pristupajte niti menjajte podatke koji nisu vaši. Ako slučajno dođete do njih — odmah prestanite i obavestite nas.

• Nemojte koristiti automatsko skeniranje koje utiče na dostupnost/stabilnost.

Kako poslati prijavu

Pišite na [email protected], i priložite:

• Pogođeni host/end-point i okruženje

• Jasne korake za reprodukciju

• Minimalni PoC (HTTP zahtev/odgovor, screenshotovi)

• Procenu uticaja i ozbiljnosti (po mogućstvu CVSS v3.1)

• Vreme testiranja i početne IP adrese

Ne šaljite tajne putem e-pošte (korisničke kredencijale, tokene, dumpove baze) — osetljive podatke maskirajte.

Safe Harbor

Ako se pridržavate ove politike, nećemo preduzimati pravne mere i smatraćemo da su vaši postupci ovlašćeni u svrhu prijave.

Nagrade i priznanje

Novčane nagrade trenutno nisu predviđene. Za potvrđene, neduplirane prijave — javno priznanje (Hall of Fame) i, na zahtev, zahvalnica. Duplikati mogu biti zatvoreni bez dodatnog priznanja; kredit dobija prva validna prijava.

Rokovi i SLA

• Potvrda prijema: u roku od 3 radna dana

• Status nakon trijaže: prema rezultatu pregleda

• Koordinisano otkrivanje: molimo da ne objavljujete detalje do objave ispravke (do 90 dana)

Ciljni rokovi za ispravke: Critical — 7 dana; High — 30 dana; Medium — 90 dana; Low — prema planu.