Chính sách công bố lỗ hổng bảo mật có trách nhiệm (VDP)

Chúng tôi trân trọng các nghiên cứu bảo mật và tiếp nhận các báo cáo thiện chí. Hiện tại chúng tôi không tiếp nhận .

Phạm vi áp dụng

• skyalo.com , *.skyalo.com

• Ứng dụng di động Skyalo (các phiên bản công khai hiện hành)

Ngoài phạm vi: dịch vụ bên thứ ba, DoS/flood, brute force, social engineering, tấn công vật lý, spam/báo cáo DMARC, lộ phiên bản không gây ảnh hưởng, clickjacking không chứng minh được tác động, thiếu header nhưng không có khai thác.

Quy tắc

• Hãy hành động thiện chí, tránh xâm phạm quyền riêng tư và làm giảm chất lượng dịch vụ.

• Chỉ sử dụng tài khoản/dữ liệu của chính bạn.

• Không truy cập hay thay đổi dữ liệu không thuộc về bạn. Nếu vô tình truy cập, hãy dừng ngay và báo cho chúng tôi.

• Không sử dụng quét tự động làm ảnh hưởng đến tính sẵn sàng/ổn định của hệ thống.

Cách gửi báo cáo

Vui lòng gửi email tới [email protected] và đính kèm:

• Máy chủ/endpoint bị ảnh hưởng và môi trường

• Các bước tái hiện rõ ràng

• PoC tối thiểu (HTTP request/response, ảnh chụp màn hình)

• Đánh giá tác động và mức độ nghiêm trọng (khuyến nghị CVSS v3.1)

• Khung thời gian kiểm thử và IP nguồn

Không gửi bí mật qua email (thông tin đăng nhập, token, dump CSDL) — hãy che giấu dữ liệu nhạy cảm.

Safe Harbor

Khi tuân thủ chính sách này, chúng tôi sẽ không thực hiện hành động pháp lý và xem hoạt động của bạn là được phép phục vụ mục đích báo cáo.

Phần thưởng và ghi nhận

Hiện chưa có thưởng tiền mặt . Với các báo cáo đã xác minh, không trùng lặp — ghi nhận công khai (Hall of Fame) và, theo yêu cầu, thư cảm ơn. Báo cáo trùng lặp có thể được đóng mà không có ghi nhận bổ sung; người đầu tiên gửi báo cáo hợp lệ sẽ được ghi nhận.

Thời hạn và SLA

• Xác nhận đã nhận: trong vòng 3 ngày làm việc

• Trạng thái sau triage: theo kết quả xem xét

• Công bố phối hợp: vui lòng không công khai chi tiết cho đến khi bản vá được phát hành (tối đa 90 ngày)

Mục tiêu khắc phục: Critical — 7 ngày; High — 30 ngày; Medium — 90 ngày; Low — theo kế hoạch.