Sérülékenység-bejelentési irányelvek
A biztonsági sérülékenységek bejelentése az alábbi e-mail címen történik:
noc@flash-net.hu
A bejelentés során kérjük az alábbi információk megadását:
a sérülékenység részletes leírása
érintett rendszerek / szolgáltatások
reprodukciós lépések
bizonyíték (pl. PoC – Proof of Concept)
ha elérhető: CVE hivatkozás
A bejelentések feldolgozása érdekében az alábbi formátumok elfogadottak:
CVE azonosító (ha létezik)
PoC (Proof of Concept)
pontos hatókör (scope) megjelölése
technikai leírás strukturált formában
Az alábbi tevékenységek szigorúan tilosak:
szolgáltatásmegtagadásos támadások (DoS / DDoS)
adatszivárogtatás vagy adatkinyerés
rendszerek túlterhelése
jogosulatlan hozzáférés kiterjesztése
A bejelentők vállalják, hogy:
nem használják ki a sérülékenységet
nem módosítanak vagy törölnek adatokat
nem szivárogtatják ki az érintett információkat
megfelelő időt biztosítanak a javításra a nyilvánosságra hozatal előtt
A szervezet vállalja, hogy:
a bejelentést 5 munkanapon belül visszaigazolja
a kivizsgálás eredményéről tájékoztatja a kutatót
elismeri a kutató munkáját (köszönetnyilvánítás), ha az irányelveknek megfelelően járt el
Jóhiszemű bejelentés esetén a szervezet nem kezdeményez jogi eljárást a kutató ellen
A program nem ad engedélyt jogosulatlan hozzáférésre, kizárólag biztonsági együttműködési keretrendszer
