За бизнеса За лична употреба
Политика за разкриване на уязвимости

Координирано разкриване на уязвимости

Coordinated Vulnerability Disclosure / VDP за Password Depot

Към: 10 март 2026 г.

Съобщаване на уязвимост Security Advisories
Safe Harbor Обхват Потвърждение до 48 ч. Coordinated Disclosure
Цел & обхват

Цел на тази политика

AceBIT GmbH приветства сигнали за уязвимости в Password Depot и в свързаните с него продуктови уеб услуги, за които отговаря AceBIT. Тази политика описва как изследователите по сигурността могат да съобщават за потенциални уязвимости, какви правила важат при изследванията по сигурността и какви ангажименти поема AceBIT в рамките на координираното разкриване.

Сигнали могат да се подават на немски или английски език.

Обхват

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Browser Extension (Chrome, Edge, Firefox)
  • Мобилни приложения (iOS, Android)
  • Продуктови уеб услуги под password-depot.de

Включително компоненти на трети страни, доколкото са част от посочените продукти.

Не са включени

  • Продуктивни клиентски среди, специфични за клиента инсталации и други системи на трети страни
  • Услуги или инфраструктури, управлявани от трети страни, които не са част от Password Depot
  • Social Engineering, Phishing, физически атаки, спам, Brute Force, Credential Stuffing, масови сканирания или тестове за Denial-of-Service
Safe Harbor

Safe Harbor

Ако действате добросъвестно, спазвате тази политика, ограничавате тестовете си до описания по-горе обхват и не четете, променяте, изтривате, ексфилтрирате данни или не нарушавате работата на услуги, ние – доколкото това е правно допустимо – няма да предявяваме гражданскоправни претенции във връзка с това изследване по сигурността.

Доколкото това е в рамките на нашето влияние и е правно допустимо, няма да подаваме и наказателен сигнал за такова изследване по сигурността.

Това не се отнася за действия извън обхвата, за тестове срещу клиентски или други системи на трети страни, за нарушения на защитата на данните, смущения в работата или други нарушения на приложимото право.

Тази политика не представлява разрешение за тестове извън описания тук обхват.
Насоки

Нашите очаквания към изследователите по сигурността

1 Действайте внимателно, добросъвестно и ограничавайте тестовете си до необходимото, за да докажете уязвимостта по разбираем и проследим начин.
2 Не осъществявайте достъп до реални клиентски данни. Ако неволно получите достъп до чувствителни данни, незабавно прекратете теста и ни уведомете без забавяне.
3 Не променяйте, не изтривайте, не извличайте и не публикувайте данни.
4 Не извършвайте тестове, които могат да засегнат системи или услуги или да влошат тяхната наличност.
5 Не използвайте social engineering, phishing или физически атаки и не инсталирайте backdoor-и или механизми за персистентност.
6 Не споделяйте подробности публично, преди съвместно да сме определили съгласуван момент за публикуване.
PGP ключ

Шифрована комуникация

За чувствителни технически подробности, моля, използвайте публичния PGP ключ на екипа по сигурността на Password Depot. Моля, проверете отпечатъка на изтегления ключ, преди да шифровате.

Идентичност Password Depot Security <security@password-depot.de> Основен отпечатък (Ed25519, Sign+Certify) 29D3 2E66 D801 E549 8EFD C944 2D9D 5787 9104 EBAA Подключ за шифроване (Curve25519) 8FC8 9959 3ACD 6D36 4F81 CC19 18A4 0C54 0FD1 0767 Валидност Основен ключ до 2031-04-23 · Подключ за шифроване до 2028-04-23 Изтегляне на ключ https://www.password-depot.de/.well-known/pgp-key.asc

Допълнително може да бъде открит и чрез RFC 9116 (security.txt) на /.well-known/security.txt.

Докладване

Как да докладвате уязвимост

Изпратете доклад

Моля, изпратете Вашия доклад на:

security@password-depot.de

Моля, приложете следното

  • Засегнат продукт, версия, build и компонент
  • Описание на уязвимостта
  • Стъпки за възпроизвеждане / Proof of Concept
  • Оценка на въздействието и степента на сериозност
  • Тестова среда, конфигурация и предпоставки
  • Данни за контакт и при необходимост желание за посочване на името
Моля, не изпращайте излишни лични данни и големи масиви от данни от продукционни среди.

Поверителност

Обработваме Вашия доклад и – ако желаете – Вашата самоличност поверително, доколкото това е допустимо по закон. Публикуваме името Ви само с Вашето предварително съгласие.

Вашите данни се предоставят само доколкото това е необходимо за проверката, отстраняването и координираното разкриване на уязвимостта или за изпълнение на законови задължения.

Процес

Какво се случва след Вашия доклад

Потвърждение за получаване 48 часа Потвърждаваме получаването на Вашия сигнал.
Първоначална оценка 7 дни Ще Ви уведомим дали класифицираме сигнала като валиден, дублиран, извън обхвата или към момента непотвърдим.
Текущи актуализации на всеки 30 дни Ще Ви информираме за статуса на обработката до отстраняването на проблема или до съгласуваното разкриване.
Разкриване

Координирано разкриване и Security Advisories

Веднага щом бъде налична актуализация за сигурност или друга ефективна коригираща мярка, по правило публикуваме Security Advisory за потвърдени уязвимости.

Ако незабавното публикуване би застрашило сигурността на нашите потребители, можем да отложим публикуването до подходящ момент.

Преглед на Security Advisories

Един Security Advisory съдържа най-малко

  • Описание на уязвимостта
  • Засегнатите продукти и версии
  • Въздействие и степен на сериозност
  • Ясни указания за отстраняване или смекчаване

Указание относно законовите задължения за уведомяване

Ако даден сигнал сочи към активно експлоатирана уязвимост или към сериозен инцидент със сигурността, може да сме законово задължени да предоставим необходимата техническа информация на компетентните органи, съответния CSIRT и ENISA, както и да уведомим засегнатите потребители.

Предаваме Вашата самоличност само доколкото това е законово необходимо.

Признание

Понастоящем не предлагаме финансови награди или Bug-Bounty плащания, освен ако това не бъде изрично обявено отделно.

Ако желаете, след отстраняване на уязвимостта ще Ви посочим в Security Advisory или в благодарствено съобщение. Моля, уведомете ни за това при подаването на сигнала си.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Германия E-Mail: security@password-depot.de
Докладване на уязвимост