Biztonság a SkyDelay-nél

Ha úgy gondolja, hogy biztonsági sebezhetőséget talált egy SkyDelay rendszerben, kérjük jelezze felénk, mielőtt nyilvánosan közzétenné. Vállaljuk, hogy:

• Visszaigazoljuk a jelentését 2 munkanapon belül.
• Kezdeti értékelést adunk 7 naptári napon belül.
• Tájékoztatjuk a megoldás felé tartó haladásról.
• Megemlítjük a hall of fame-ünkben (ha kéri) a hiba kijavítása után.
• Nem indítunk jogi eljárást a jóhiszeműen eljáró kutatók ellen.

E-mail

security@skydelay.org

security.txt

/.well-known/security.txt

• skydelay.org és bármely aldomain, amit üzemeltetünk.
• A nyilvános igénylési űrlap és az ügyfélportál.
• Hitelesítési, jogosultsági és IDOR sebezhetőségek.
• Szerveroldali sebezhetőségek (SSRF, RCE, SQL injection, NoSQL injection).
• Érzékeny adatok kitettsége (PII, IBAN, fizetési adatok, azonosítók).
• Cross-site scripting, CSRF, törött hozzáférés-vezérlés.

Hatókörön kívül

• Munkavállalók vagy ügyfelek pszichológiai manipulációja.
• Denial-of-service, brute-force vagy rate-limit tesztek éles környezetben.
• Jelentések hiányzó best-practice fejlécekről működő exploit nélkül.
• Spam vagy tartalombeszúrás, amely a támadó által irányított felhasználói interakciót igényel.
• Harmadik fél szolgáltatások (Stripe, Vercel, MongoDB Atlas) — közvetlenül nekik jelentse.

• Átvitel közben: TLS 1.3 minden aldomainen kötelező; HSTS 2 éves max-age-gel és preload-dal.
• Nyugalmi állapotban: AES-256 titkosítás dokumentumokra (személyi, beszállókártya, nyugták) és PII mezőkre MongoDB-ben.
• Hozzáférés-vezérlés: Szerepalapú hozzáférés legkisebb jogosultsággal, MFA kötelező az összes munkavállalónak, auditált admin műveletek.
• Sebességkorlátozás: IP- és PNR-szintű rate-limitek minden nyilvános írási végponton.
• Token-alapú jogosultság: Folytatási tokenek HMAC-aláírtak és az adott igényhez vannak kötve.
• IBAN validálás: Mod-97 ellenőrző összeg minden banki adat frissítésnél.
• Auditnaplók: Minden státuszváltozás és admin művelet csak-bővítési idővonalra íródik.
• Behatolási tesztek: Éves külső pentest, belső biztonsági átvizsgálás minden kiadás előtt.

Csak az igénye kezeléséhez feltétlenül szükséges személyes adatokat gyűjtjük be, és töröljük a következők korábbi időpontjában: (i) az Ön írásbeli kérése, vagy (ii) az alkalmazandó megőrzési időszak vége az albán 9887/2008 sz. törvény és a GDPR 6(1)(b) cikke szerint. A biztonsági mentések ugyanezen ritmus szerint tisztulnak.

Nyilvánosan elismerjük az érvényes sebezhetőségeket bejelentő kutatókat. Ha szerepelni szeretne, a jelentésében adja meg az előnyben részesített nevét és egy linket.

Még nincsenek jelentések — legyen Ön az első.