นโยบายการเปิดเผยช่องโหว่อย่างรับผิดชอบ (VDP)

เราให้ความสำคัญกับงานวิจัยด้านความปลอดภัยและรับรายงานที่ส่งมาโดยสุจริต ขณะนี้ยังไม่รับ.

ขอบเขต

• skyalo.com, *.skyalo.com

• แอปมือถือ Skyalo (เวอร์ชันสาธารณะล่าสุด)

อยู่นอกขอบเขต: บริการของบุคคลที่สาม, DoS/ฟลัด, brute force, social engineering, การโจมตีทางกายภาพ, สแปม/รายงาน DMARC, การเปิดเผยเวอร์ชันที่ไม่มีผลกระทบ, clickjacking ที่ไม่มีหลักฐานว่ามีผลกระทบ, เฮดเดอร์ที่ขาดหายไปโดยไม่มีการโจมตีจริง

กฎเกณฑ์

• ดำเนินการด้วยความสุจริต หลีกเลี่ยงการละเมิดความเป็นส่วนตัวและการทำให้บริการเสื่อมประสิทธิภาพ

• ใช้เฉพาะบัญชี/ข้อมูลของคุณเอง

• อย่าเข้าถึงหรือแก้ไขข้อมูลที่ไม่ใช่ของคุณ หากเข้าถึงโดยไม่ตั้งใจ ให้หยุดทันทีและแจ้งเรา

• อย่าใช้การสแกนอัตโนมัติที่กระทบต่อความพร้อมใช้งาน/เสถียรภาพ

วิธีส่งรายงาน

ส่งอีเมลไปที่ [email protected], พร้อมแนบ:

• โฮสต์/เอนด์พอยต์และสภาพแวดล้อมที่ได้รับผลกระทบ

• ขั้นตอนการทำซ้ำอย่างชัดเจน

• PoC ขั้นต่ำ (HTTP request/response, ภาพหน้าจอ)

• การประเมินผลกระทบและความรุนแรง (แนะนำ CVSS v3.1)

• ช่วงเวลาทดสอบและ IP ต้นทาง

อย่าส่งข้อมูลลับทางอีเมล (ข้อมูลเข้าสู่ระบบ, โทเคน, dump ฐานข้อมูล) — ให้ปกปิดข้อมูลอ่อนไหว

Safe Harbor

หากปฏิบัติตามนโยบายนี้ เราจะไม่ดำเนินการทางกฎหมาย และถือว่าการกระทำของคุณได้รับอนุญาตเพื่อวัตถุประสงค์ในการรายงาน

รางวัลและการยกย่อง

ขณะนี้ยังไม่มีการมอบเงินรางวัล. สำหรับรายงานที่ยืนยันแล้วและไม่ซ้ำกัน — การขอบคุณแบบสาธารณะ (Hall of Fame) และหากต้องการสามารถออกจดหมายขอบคุณให้ได้ รายงานซ้ำอาจปิดได้โดยไม่มีการยกย่องเพิ่มเติม; รายงานที่ถูกต้องฉบับแรกจะได้รับเครดิต

ระยะเวลาและ SLA

• การยืนยันรับเรื่อง: ภายใน 3 วันทำการ

• สถานะหลัง triage: ตามผลการพิจารณา

• การเปิดเผยแบบประสานงาน: โปรดอย่าเผยแพร่รายละเอียดจนกว่าจะมีการแก้ไขออกมา (ภายใน 90 วัน)

เป้าหมายการแก้ไข: Critical — 7 วัน; High — 30 วัน; Medium — 90 วัน; Low — ตามแผน.