Pentru companii Pentru uz personal
Vulnerability Disclosure Policy

Divulgarea coordonată a vulnerabilităților

Coordinated Vulnerability Disclosure / VDP pentru Password Depot

Actualizat la: 10 martie 2026

Raportați o vulnerabilitate Security Advisories
Safe Harbor Domeniu de aplicare Confirmare în 48 h Coordinated Disclosure
Scop și domeniu de aplicare

Scopul acestei politici

AceBIT GmbH salută raportările privind vulnerabilități din Password Depot și din serviciile web asociate produsului, aflate în responsabilitatea AceBIT. Această politică descrie modul în care cercetătorii în securitate pot raporta potențiale vulnerabilități, ce reguli se aplică în cadrul cercetării de securitate și ce angajamente își asumă AceBIT în contextul unei divulgări coordonate.

Raportările pot fi făcute în germană sau engleză.

Domeniu de aplicare

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Extensie de browser (Chrome, Edge, Firefox)
  • Aplicații mobile (iOS, Android)
  • Servicii web aferente produsului pe password-depot.de

Inclusiv componente terțe, în măsura în care fac parte din produsele menționate.

Neincluse

  • Medii de producție ale clienților, instalări specifice clienților și alte sisteme ale terților
  • Servicii sau infrastructuri operate de terți care nu fac parte din Password Depot
  • Social Engineering, phishing, atacuri fizice, spam, Brute Force, Credential Stuffing, scanări în masă sau teste de tip Denial-of-Service
Safe Harbor

Safe Harbor

Dacă acționați cu bună-credință, respectați această politică, vă limitați testele la domeniul de aplicare descris mai sus și nu citiți, modificați, ștergeți sau exfiltrați date și nu afectați serviciile, atunci – în măsura permisă de lege – vom renunța la pretențiile civile legate de această cercetare de securitate.

În măsura în care acest lucru ține de sfera noastră de influență și este permis de lege, nu vom depune nici plângere penală pentru o astfel de cercetare de securitate.

Aceasta nu se aplică acțiunilor din afara domeniului de aplicare, testelor efectuate asupra sistemelor clienților sau ale altor terți, încălcărilor protecției datelor, perturbărilor operaționale sau altor încălcări ale legislației aplicabile.

Această politică nu reprezintă o autorizare pentru teste în afara domeniului de aplicare descris aici.
Ghiduri

Așteptările noastre față de cercetătorii în securitate

1 Acționați cu grijă, cu bună-credință și limitați-vă testele la ceea ce este necesar pentru a demonstra în mod clar vulnerabilitatea.
2 Nu accesați date reale ale clienților. Dacă obțineți neintenționat acces la date sensibile, opriți imediat testul și informați-ne fără întârziere.
3 Nu modificați, nu ștergeți, nu exfiltrați și nu publicați date.
4 Nu efectuați teste care pot afecta sistemele sau serviciile ori le pot reduce disponibilitatea.
5 Nu utilizați social engineering, phishing, atacuri fizice și nu instalați backdoor-uri sau mecanisme de persistență.
6 Nu faceți publice detaliile înainte să stabilim împreună un moment de divulgare coordonat.
Cheie PGP

Comunicare criptată

Pentru detalii tehnice sensibile, vă rugăm să utilizați cheia publică PGP a echipei de securitate Password Depot. Înainte de criptare, vă rugăm să verificați amprenta cheii descărcate.

Identitate Password Depot Security <security@password-depot.de> Amprentă principală (Ed25519, Sign+Certify) 29D3 2E66 D801 E549 8EFD C944 2D9D 5787 9104 EBAA Subcheie de criptare (Curve25519) 8FC8 9959 3ACD 6D36 4F81 CC19 18A4 0C54 0FD1 0767 Valabilitate Cheie principală până la 2031-04-23 · subcheie de criptare până la 2028-04-23 Descărcare cheie https://www.password-depot.de/.well-known/pgp-key.asc

Poate fi găsită suplimentar și prin RFC 9116 (security.txt) la /.well-known/security.txt.

Raportare

Cum să raportați o vulnerabilitate

Trimiteți raportarea

Vă rugăm să trimiteți raportarea la:

security@password-depot.de

Vă rugăm să includeți următoarele

  • Produsul afectat, versiunea, build-ul și componenta
  • Descrierea vulnerabilității
  • Pași de reproducere / Proof of Concept
  • Evaluarea impactului și a gradului de severitate
  • Mediul de testare, configurația și condițiile prealabile
  • Date de contact și, dacă este cazul, dorința de a fi menționat nominal
Vă rugăm să nu trimiteți date cu caracter personal inutile și nici volume mari de date din medii productive.

Confidențialitate

Tratăm raportarea dumneavoastră și – dacă doriți acest lucru – identitatea dumneavoastră în mod confidențial, în măsura permisă de lege. Publicăm numele dumneavoastră numai cu acordul dumneavoastră prealabil.

Datele furnizate de dumneavoastră sunt transmise mai departe numai în măsura în care acest lucru este necesar pentru verificarea, remedierea și divulgarea coordonată a vulnerabilității sau pentru îndeplinirea obligațiilor legale.

Proces

Ce se întâmplă după raportarea dumneavoastră

Confirmare de primire 48 de ore Confirmăm primirea raportării dumneavoastră.
Evaluare inițială 7 zile Vă comunicăm dacă evaluăm raportarea ca fiind validă, duplicată, în afara domeniului de aplicare sau momentan imposibil de verificat.
Actualizări periodice la fiecare 30 de zile Vă informăm cu privire la stadiul procesării până la remediere sau până la divulgarea coordonată convenită.
Divulgare

Divulgare coordonată și Security Advisories

De îndată ce este disponibil un update de securitate sau o altă măsură eficientă de remediere, publicăm de regulă un Security Advisory pentru vulnerabilitățile confirmate.

Dacă o publicare imediată ar pune în pericol securitatea utilizatorilor noștri, putem amâna publicarea până la un moment adecvat.

Vedeți Security Advisories

Un Security Advisory include cel puțin

  • O descriere a vulnerabilității
  • Produsele și versiunile afectate
  • Impact și nivel de severitate
  • Indicații clare pentru remediere sau atenuare

Notă privind obligațiile legale de raportare

Dacă o raportare indică o vulnerabilitate exploatată activ sau un incident grav de securitate, este posibil să fim obligați prin lege să transmitem informațiile tehnice necesare autorităților competente, CSIRT-ului competent și ENISA, precum și să informăm utilizatorii afectați.

Vă divulgăm identitatea doar în măsura în care acest lucru este necesar din punct de vedere legal.

Recunoaștere

În prezent, nu oferim recompense financiare sau plăți de tip bug bounty, cu excepția cazului în care acest lucru este anunțat expres separat.

Dacă doriți, vă menționăm după remedierea vulnerabilității într-un Security Advisory sau într-o notă de mulțumire. Vă rugăm să ne comunicați acest lucru odată cu raportarea.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Germania E-mail: security@password-depot.de
Raportați o vulnerabilitate