Sérülékenységi bejelentő

A bejelentés során kérjük az alábbi információk megadását:

A sérülékenység részletes leírása, érintett rendszerek / szolgáltatások, reprodukciós lépések, bizonyíték (pl. PoC – Proof of Concept) ha elérhető: CVE hivatkozás.

Elfogadott formátumok - A bejelentések feldolgozása érdekében az alábbi formátumok elfogadottak:

CVE azonosító (ha létezik), PoC (Proof of Concept), pontos hatókör (scope) megjelölése, technikai leírás strukturált formában.

Tiltott tevékenységek - Az alábbi tevékenységek szigorúan tilosak:

Szolgáltatásmegtagadásos támadások (DoS / DDoS), adatszivárogtatás vagy adatkinyerés, rendszerek túlterhelése, jogosulatlan hozzáférés kiterjesztése.

Kutatói magatartási elvárások - A bejelentők vállalják, hogy:

Nem használják ki a sérülékenységet, nem módosítanak vagy törölnek adatokat, nem szivárogtatják ki az érintett információkat, megfelelő időt biztosítanak a javításra a nyilvánosságra hozatal előtt.

Szervezeti válaszidő és visszajelzés - A szervezet vállalja, hogy:

A bejelentést 5 munkanapon belül visszaigazolja, a kivizsgálás eredményéről tájékoztatja a kutatót, elismeri a kutató munkáját (köszönetnyilvánítás), ha az irányelveknek megfelelően járt el.

Jogi garanciák:

Jóhiszemű bejelentés esetén a szervezet nem kezdeményez jogi eljárást a kutató ellen. A program nem ad engedélyt jogosulatlan hozzáférésre, kizárólag biztonsági együttműködési keretrendszer.

A biztonsági sérülékenységek bejelentése az alábbi formon történik: