Vulnerability Disclosure Policy

Sebezhetőségek koordinált közzététele

Coordinated Vulnerability Disclosure / VDP a Password Depot számára

Hatályos: 2026. március 10.

Sebezhetőség bejelentése Security Advisories
Safe Harbor Hatókör 48 órás visszaigazolás Coordinated Disclosure
Cél és hatókör

A szabályzat célja

Az AceBIT GmbH örömmel fogadja a Password Depotban és az AceBIT által üzemeltetett, kapcsolódó termékszintű webszolgáltatásokban található biztonsági rések bejelentését. Ez a szabályzat leírja, hogyan jelenthetik a biztonsági kutatók a lehetséges sebezhetőségeket, milyen szabályok vonatkoznak a biztonsági kutatásra, és milyen kötelezettségeket vállal az AceBIT a koordinált közzététel keretében.

A bejelentések német vagy angol nyelven nyújthatók be.

Hatókör

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Browser Extension (Chrome, Edge, Firefox)
  • Mobile Apps (iOS, Android)
  • Termékhez kapcsolódó webszolgáltatások a password-depot.de alatt

Beleértve a harmadik féltől származó komponenseket, amennyiben azok a fent felsorolt termékek részét képezik.

Nem tartozik a hatókörbe

  • Éles ügyfélkörnyezetek, egyedi telepítések és egyéb harmadik féltől származó rendszerek
  • Harmadik felek által üzemeltetett szolgáltatások vagy infrastruktúrák, amelyek nem részei a Password Depotnak
  • Social engineering, adathalászat, fizikai támadások, spam, brute force, credential stuffing, tömeges szkennelés vagy szolgáltatásmegtagadási (DoS) tesztek
Safe Harbor

Safe Harbor

Ha jóhiszeműen jár el, betartja ezt a szabályzatot, tesztjeit a fent leírt hatókörre korlátozza, és nem olvas ki, módosít, töröl, nem juttat ki adatokat, illetve nem károsítja a szolgáltatásokat, akkor – a jogszabályok által megengedett mértékben – eltekintünk az ilyen biztonsági kutatásból eredő polgári jogi igényektől.

Amennyiben ez a befolyási körünkbe tartozik és jogilag megengedett, az ilyen biztonsági kutatás miatt büntetőfeljelentést sem teszünk.

Ez nem vonatkozik a hatókörön kívüli tevékenységekre, ügyfél- vagy egyéb harmadik féltől származó rendszerek elleni tesztekre, adatvédelmi jogsértésekre, üzemzavarokra, illetve az alkalmazandó jogszabályok egyéb megsértésére.

Ez a szabályzat nem jelent engedélyt az itt leírt hatókörön kívüli tesztekhez.
Guidelines

Elvárásaink a biztonsági kutatókkal szemben

1 Járjon el gondosan, jóhiszeműen, és korlátozza tesztjeit a sebezhetőség reprodukálható bizonyításához szükséges minimumra.
2 Ne férjen hozzá valós ügyféladatokhoz. Ha véletlenül személyes vagy egyéb érzékeny adatokhoz jut hozzá, azonnal állítsa le a tesztet, és haladéktalanul értesítsen minket.
3 Ne módosítson, töröljön, juttasson ki vagy tegyen közzé semmilyen adatot.
4 Ne végezzen olyan teszteket, amelyek károsíthatják a rendszereket vagy szolgáltatásokat, illetve ronthatják azok elérhetőségét.
5 Ne alkalmazzon social engineeringet, adathalászatot, fizikai támadásokat, és ne telepítsen hátsó ajtókat vagy perzisztencia-mechanizmusokat.
6 Ne osszon meg részleteket nyilvánosan, amíg közösen meg nem állapodtunk egy egyeztetett közzétételi időpontban.
Bejelentés

Hogyan jelentsen be egy sebezhetőséget

Bejelentés küldése

Kérjük, küldje bejelentését a következő címre:

security@password-depot.de

Kérjük, mellékelje a következőket

  • Érintett termék, verzió, build és komponens
  • A sebezhetőség leírása
  • Reprodukálási lépések / Proof of Concept
  • A hatás és a súlyosság értékelése
  • Tesztkörnyezet, konfiguráció és előfeltételek
  • Elérhetőségi adatok, és adott esetben a névfeltüntetés igénye
Kérjük, ne küldjön szükségtelen személyes adatokat, és ne küldjön nagy adatállományokat éles környezetekből.

Titoktartás

Bejelentését és – ha kívánja – személyazonosságát bizalmasan kezeljük, a jogszabályok által megengedett mértékben. Nevét kizárólag előzetes hozzájárulásával tesszük közzé.

Adatainak továbbítására kizárólag a sebezhetőség vizsgálata, javítása és koordinált közzététele, illetve jogszabályi kötelezettségek teljesítése érdekében szükséges mértékben kerül sor.

Folyamat

Mi történik a bejelentés után

Visszaigazolás 48 óra Visszaigazoljuk bejelentésének beérkezését.
Első értékelés 7 nap Tájékoztatjuk, hogy a bejelentést érvényesnek, duplikáltnak, hatókörön kívülinek vagy jelenleg nem reprodukálhatónak minősítjük-e.
Folyamatos frissítések 30 naponta Tájékoztatjuk a feldolgozás állapotáról a javításig vagy az egyeztetett közzétételig.
Közzététel

Koordinált közzététel és Security Advisories

Amint elérhető egy biztonsági frissítés vagy más hatékony javítóintézkedés, a megerősített és javítást igénylő sebezhetőségekről általában Security Advisory-t teszünk közzé.

Ha az azonnali közzététel veszélyeztetné felhasználóink biztonságát, a közzétételt megfelelő időpontra halaszthatjuk.

Egy Advisory legalább a következőket tartalmazza

  • A sebezhetőség leírása
  • Az érintett termékek és verziók
  • Hatás és súlyosság
  • Egyértelmű útmutató a javításhoz vagy a kockázatcsökkentéshez

Megjegyzés a jogszabályi bejelentési kötelezettségekről

Ha egy bejelentés aktívan kihasznált sebezhetőségre vagy súlyos biztonsági incidensre utal, jogszabályi kötelezettségünk lehet a szükséges technikai információk továbbítása az illetékes hatóságoknak, az illetékes CSIRT-nek és az ENISA-nak, valamint az érintett felhasználók tájékoztatása.

Személyazonosságát ebben az összefüggésben kizárólag a jogilag szükséges mértékben adjuk tovább.

Elismerés

Jelenleg nem kínálunk pénzügyi jutalmakat vagy bug bounty kifizetéseket, kivéve ha ezt kifejezetten külön bejelentjük.

Ha kívánja, a sebezhetőség javítása után egy Security Advisory-ban vagy köszönetnyilvánításban név szerint megemlítjük. Kérjük, jelezze ezt bejelentésében.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Németország
E-mail: security@password-depot.de
Sebezhetőség bejelentése