Політика відповідального розкриття вразливостей (VDP)

Ми цінуємо дослідження у сфері безпеки та приймаємо добросовісні звіти. Зовнішні пентести наразі не приймаємо.

Область дії

• skyalo.com, *.skyalo.com

• Мобільні застосунки Skyalo (актуальні публічні версії)

Поза межами області: сторонні сервіси, DoS/флуд, брутфорс, соціальна інженерія, фізичні атаки, спам/DMARC-звіти, розкриття версій без впливу, clickjacking без доведеного впливу, відсутні заголовки без експлойта.

Правила

• Дійте добросовісно, уникайте порушення приватності та погіршення роботи сервісу.

• Використовуйте лише свої облікові записи/дані.

• Не отримуйте та не змінюйте дані, які вам не належать. У разі випадкового доступу — негайно зупиніться та повідомте нам.

• Не використовуйте автоматичне сканування, що впливає на доступність/стабільність.

Як надіслати звіт

Пишіть на [email protected], додайте:

• Затронутий хост/ендпоінт і середовище

• Чіткі кроки відтворення

• Мінімальний PoC (HTTP-запит/відповідь, скриншоти)

• Оцінку впливу та серйозності (бажано CVSS v3.1)

• Вікно тестування та вихідні IP

Не надсилайте секрети електронною поштою (облікові дані, токени, дампи БД) — маскуйте чутливі дані.

Safe Harbor

За умови дотримання цієї політики ми не вживатимемо юридичних дій і вважатимемо ваші дії авторизованими з метою звіту.

Винагороди та визнання

Грошові винагороди наразі не передбачені. За підтверджені, не дублюючі звіти — публічна подяка (Hall of Fame) і, на запит, лист-подяка. Дублі можуть закриватися без додаткового визнання; кредит отримує перший валідний звіт.

Строки та SLA

• Підтвердження отримання: протягом 3 робочих днів

• Статус після triage: за результатами розгляду

• Координоване розкриття: просимо не публікувати деталі до виходу виправлення (до 90 днів)

Цілі щодо виправлень: Critical — 7 днів; High — 30 днів; Medium — 90 днів; Low — за планом.