SkyDelay logoSkyDelay
Υπεύθυνη αποκάλυψη ευπρόσδεκτη

Ασφάλεια στη SkyDelay

Οι πελάτες μας μας εμπιστεύονται τραπεζικά στοιχεία, ταυτότητες και ταξιδιωτικά δεδομένα. Παίρνουμε σοβαρά αυτήν την ευθύνη. Αυτή η σελίδα περιγράφει πώς προστατεύουμε τις πληροφορίες σας και πώς οι ερευνητές μπορούν να αναφέρουν υπεύθυνα θέματα ασφάλειας.

Αναφορά ευπάθειας

Εάν πιστεύετε ότι βρήκατε μια ευπάθεια ασφαλείας σε οποιοδήποτε σύστημα SkyDelay, αναφέρετε την σε εμάς πριν τη δημόσια αποκάλυψη. Δεσμευόμαστε να:

  • Επιβεβαιώσουμε την αναφορά σας εντός 2 εργάσιμων ημερών.
  • Παράσχουμε μια αρχική αξιολόγηση εντός 7 ημερολογιακών ημερών.
  • Σας κρατάμε ενήμερους για την πρόοδο προς επίλυση.
  • Σας πιστώσουμε στο hall of fame μας (αν επιθυμείτε) μετά την επίλυση.
  • Να μην ασκήσουμε νομικές ενέργειες κατά ερευνητών που ενεργούν καλόπιστα.
Email
security@skydelay.org
security.txt
/.well-known/security.txt

Εντός εμβέλειας

  • skydelay.org και κάθε υποτομέας που λειτουργούμε.
  • Το δημόσιο έντυπο απαίτησης και η πύλη πελατών.
  • Ευπάθειες ταυτοποίησης, εξουσιοδότησης και IDOR.
  • Ευπάθειες server-side (SSRF, RCE, SQL injection, NoSQL injection).
  • Έκθεση ευαίσθητων δεδομένων (PII, IBAN, πληρωμές, ID).
  • Cross-site scripting, CSRF, σπασμένος έλεγχος πρόσβασης.

Εκτός εμβέλειας

  • Κοινωνική μηχανική προσωπικού ή πελατών.
  • Δοκιμές denial-of-service, brute-force ή rate-limit στην παραγωγή.
  • Αναφορές για ελλιπείς best-practice headers χωρίς λειτουργικό exploit.
  • Spam ή injection περιεχομένου που απαιτεί αλληλεπίδραση χρήστη υπό έλεγχο επιτιθέμενου.
  • Υπηρεσίες τρίτων (Stripe, Vercel, MongoDB Atlas) — αναφέρετε απευθείας σε αυτούς.

Πώς προστατεύουμε τα δεδομένα

  • Σε μεταφορά: TLS 1.3 επιβάλλεται σε όλους τους υποτομείς· HSTS με 2-ετές max-age και preload.
  • Σε ηρεμία: Κρυπτογράφηση AES-256 για έγγραφα (ID, κάρτα επιβίβασης, αποδείξεις) και πεδία PII στη MongoDB.
  • Έλεγχος πρόσβασης: Πρόσβαση βάσει ρόλων με ελάχιστα προνόμια, MFA υποχρεωτική για όλο το προσωπικό, ελεγμένες ενέργειες admin.
  • Περιορισμός ρυθμού: Όρια ανά IP και ανά PNR σε κάθε δημόσιο endpoint εγγραφής.
  • Εξουσιοδότηση με token: Τα tokens συνέχισης είναι HMAC-υπογεγραμμένα και συνδεδεμένα με τη συγκεκριμένη απαίτηση.
  • Επικύρωση IBAN: Άθροισμα ελέγχου mod-97 σε κάθε ενημέρωση τραπεζικών στοιχείων.
  • Αρχεία ελέγχου: Κάθε αλλαγή κατάστασης και ενέργεια admin γράφεται σε αμετάκλητη χρονοσειρά.
  • Δοκιμές διείσδυσης: Ετήσιος εξωτερικός pentest, εσωτερική εξέταση ασφαλείας πριν από κάθε release.

GDPR και ελαχιστοποίηση δεδομένων

Συλλέγουμε μόνο τα προσωπικά δεδομένα που είναι αυστηρά απαραίτητα για τη διαχείριση της αξίωσής σας και τα διαγράφουμε στο νωρίτερο από: (i) γραπτό σας αίτημα, ή (ii) το τέλος της εφαρμοστέας περιόδου διατήρησης βάσει του αλβανικού νόμου αριθ. 9887/2008 και του άρθρου 6(1)(b) GDPR. Τα backups καθαρίζονται με τον ίδιο ρυθμό.

Hall of fame

Πιστώνουμε δημόσια ερευνητές που αναφέρουν έγκυρες ευπάθειες. Για να καταχωρηθείτε, συμπεριλάβετε το προτιμώμενο όνομα και έναν σύνδεσμο στην αναφορά σας.

Καμία αναφορά ακόμη — γίνετε ο πρώτος.

Τελευταία ενημέρωση: 2026-06-04.