Vulnerability Disclosure Policy

Συντονισμένη γνωστοποίηση ευπαθειών

Vulnerability Disclosure Policy (VDP) για το Password Depot

Ημερομηνία: 10 Μαρτίου 2026

Αναφορά ευπάθειας Security Advisories
Safe Harbor Πεδίο εφαρμογής Επιβεβαίωση εντός 48 ωρών Coordinated Disclosure
Σκοπός & Πεδίο εφαρμογής

Σκοπός αυτής της πολιτικής

Η AceBIT GmbH καλωσορίζει αναφορές ευπαθειών ασφαλείας στο Password Depot και σε σχετικές υπηρεσίες web που σχετίζονται με το προϊόν και διαχειρίζεται η AceBIT. Αυτή η πολιτική περιγράφει πώς οι ερευνητές ασφαλείας μπορούν να αναφέρουν πιθανές ευπάθειες, ποιοι κανόνες ισχύουν για την έρευνα ασφαλείας και ποιες δεσμεύσεις αναλαμβάνει η AceBIT στο πλαίσιο μιας συντονισμένης γνωστοποίησης.

Οι αναφορές μπορούν να υποβληθούν στα Γερμανικά ή στα Αγγλικά.

Πεδίο εφαρμογής

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Browser Extension (Chrome, Edge, Firefox)
  • Mobile Apps (iOS, Android)
  • Υπηρεσίες web που σχετίζονται με το προϊόν στο password-depot.de

Συμπεριλαμβανομένων στοιχείων τρίτων, εφόσον αποτελούν μέρος των παραπάνω προϊόντων.

Εκτός πεδίου εφαρμογής

  • Παραγωγικά περιβάλλοντα πελατών, προσαρμοσμένες εγκαταστάσεις και λοιπά συστήματα τρίτων
  • Υπηρεσίες ή υποδομές που λειτουργούν από τρίτους και δεν αποτελούν μέρος του Password Depot
  • Social engineering, phishing, φυσικές επιθέσεις, spam, brute force, credential stuffing, μαζικές σαρώσεις ή δοκιμές denial-of-service
Safe Harbor

Safe Harbor

Εάν ενεργείτε καλόπιστα, τηρείτε αυτήν την πολιτική, περιορίζετε τις δοκιμές σας στο πεδίο εφαρμογής που περιγράφεται παραπάνω και δεν αποκτάτε πρόσβαση, δεν τροποποιείτε, δεν διαγράφετε, δεν εξάγετε δεδομένα ή δεν παρεμποδίζετε υπηρεσίες, θα απέχουμε – στο βαθμό που επιτρέπεται από τον νόμο – από αστικές αξιώσεις λόγω αυτής της έρευνας ασφαλείας.

Στο βαθμό που αυτό εμπίπτει στη σφαίρα επιρροής μας και επιτρέπεται από τον νόμο, δεν θα υποβάλουμε ποινική μήνυση σε σχέση με τέτοια έρευνα ασφαλείας.

Αυτό δεν ισχύει για ενέργειες εκτός του πεδίου εφαρμογής, για δοκιμές σε συστήματα πελατών ή άλλα συστήματα τρίτων, για παραβιάσεις προστασίας δεδομένων, λειτουργικές διαταραχές ή άλλες παραβάσεις του εφαρμοστέου δικαίου.

Αυτή η πολιτική δεν αποτελεί άδεια για δοκιμές εκτός του πεδίου εφαρμογής που περιγράφεται εδώ.
Guidelines

Οι προσδοκίες μας από τους ερευνητές ασφαλείας

1 Ενεργείτε προσεκτικά, καλόπιστα και περιορίστε τις δοκιμές σας στα απαραίτητα για να αποδείξετε την ευπάθεια με αναπαραγώγιμο τρόπο.
2 Μην αποκτάτε πρόσβαση σε πραγματικά δεδομένα πελατών. Εάν αποκτήσετε ακούσια πρόσβαση σε προσωπικά ή άλλα ευαίσθητα δεδομένα, σταματήστε αμέσως τη δοκιμή και ενημερώστε μας χωρίς καθυστέρηση.
3 Μην τροποποιείτε, διαγράφετε, εξάγετε ή δημοσιεύετε δεδομένα.
4 Μην εκτελείτε δοκιμές που θα μπορούσαν να παρεμποδίσουν συστήματα ή υπηρεσίες ή να μειώσουν τη διαθεσιμότητά τους.
5 Μην χρησιμοποιείτε social engineering, phishing, φυσικές επιθέσεις και μην εγκαθιστάτε backdoors ή μηχανισμούς μόνιμης παρουσίας.
6 Μην κοινοποιείτε λεπτομέρειες δημόσια πριν συμφωνήσουμε από κοινού σε μια συντονισμένη ημερομηνία γνωστοποίησης.
Αναφορά

Πώς να αναφέρετε μια ευπάθεια ασφαλείας

Υποβολή αναφοράς

Παρακαλούμε στείλτε την αναφορά σας στο:

security@password-depot.de

Παρακαλούμε συμπεριλάβετε

  • Επηρεαζόμενο προϊόν, έκδοση, build και στοιχείο
  • Περιγραφή της ευπάθειας
  • Βήματα αναπαραγωγής / Proof of Concept
  • Εκτίμησή σας σχετικά με τις επιπτώσεις και τη σοβαρότητα
  • Περιβάλλον δοκιμής, διαμόρφωση και προϋποθέσεις
  • Στοιχεία επικοινωνίας και, εάν επιθυμείτε, αν θα θέλατε να αναφερθεί το όνομά σας
Παρακαλούμε μην στέλνετε περιττά προσωπικά δεδομένα ή μεγάλα σύνολα δεδομένων από παραγωγικά περιβάλλοντα.

Εμπιστευτικότητα

Χειριζόμαστε την αναφορά σας και – εάν το επιθυμείτε – την ταυτότητά σας εμπιστευτικά, στο βαθμό που επιτρέπεται από τον νόμο. Δημοσιεύουμε το όνομά σας μόνο με την προηγούμενη συγκατάθεσή σας.

Η κοινοποίηση των στοιχείων σας γίνεται μόνο στο βαθμό που είναι απαραίτητο για την αξιολόγηση, την αποκατάσταση και τη συντονισμένη γνωστοποίηση της ευπάθειας ή για την εκπλήρωση νομικών υποχρεώσεων.

Διαδικασία

Τι συμβαίνει μετά την αναφορά σας

Επιβεβαίωση παραλαβής 48 ώρες Επιβεβαιώνουμε την παραλαβή της αναφοράς σας.
Αρχική αξιολόγηση 7 ημέρες Σας ενημερώνουμε εάν ταξινομούμε την αναφορά ως έγκυρη, διπλότυπη, εκτός πεδίου εφαρμογής ή προς το παρόν μη αναπαραγώγιμη.
Τακτικές ενημερώσεις κάθε 30 ημέρες Σας ενημερώνουμε για την πρόοδο μέχρι την επίλυση ή μέχρι τη συντονισμένη γνωστοποίηση.
Γνωστοποίηση

Συντονισμένη γνωστοποίηση και Security Advisories

Μόλις γίνει διαθέσιμη μια ενημέρωση ασφαλείας ή κάποιο άλλο αποτελεσματικό μέτρο αποκατάστασης, δημοσιεύουμε γενικά ένα security advisory για επιβεβαιωμένες ευπάθειες που απαιτούν αποκατάσταση.

Εάν η άμεση δημοσίευση θα έθετε σε κίνδυνο την ασφάλεια των χρηστών μας, ενδέχεται να αναβάλουμε τη δημοσίευση μέχρι μια κατάλληλη στιγμή.

Ένα advisory περιλαμβάνει τουλάχιστον

  • Μια περιγραφή της ευπάθειας
  • Τα επηρεαζόμενα προϊόντα και εκδόσεις
  • Επιπτώσεις και σοβαρότητα
  • Σαφείς οδηγίες για αποκατάσταση ή μετριασμό

Σημείωση σχετικά με νομικές υποχρεώσεις αναφοράς

Εάν μια αναφορά υποδεικνύει μια ευπάθεια που αξιοποιείται ενεργά ή ένα σοβαρό περιστατικό ασφαλείας, ενδέχεται να υποχρεωθούμε νομικά να διαβιβάσουμε τις απαραίτητες τεχνικές πληροφορίες στις αρμόδιες αρχές, στο αρμόδιο CSIRT και στην ENISA, καθώς και να ενημερώσουμε τους επηρεαζόμενους χρήστες.

Την ταυτότητά σας την κοινοποιούμε μόνο στο βαθμό που απαιτείται νομικά.

Αναγνώριση

Προς το παρόν δεν προσφέρουμε οικονομικές ανταμοιβές ή πληρωμές bug bounty, εκτός εάν ανακοινωθεί ρητά ξεχωριστά.

Εάν το επιθυμείτε, θα αναφέρουμε το όνομά σας μετά την αποκατάσταση της ευπάθειας σε ένα security advisory ή σε μια ευχαριστήρια αναφορά. Παρακαλούμε ενημερώστε μας σχετικά μαζί με την αναφορά σας.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Γερμανία
Email: security@password-depot.de
Αναφορά ευπάθειας