Vissza
QuoteForge

Sebezhetőség-bejelentési szabályzat

Utolsó frissítés: 2026-01-01

Célkitűzés

A TeleCetli Kft. felkéri a biztonsági kutatókat és felhasználókat, hogy a QuoteForge platformon észlelt potenciális sebezhetőségeket felelős közzététel keretében jelentsék be. Elkötelezetten együttműködünk a biztonsági közösséggel a sebezhetőségek haladéktalan azonosítása és kezelése érdekében. Jelen szabályzat meghatározza a sebezhetőség-bejelentés hatókörét, szabályait, beküldési folyamatát és reagálási vállalásainkat.

Hatókör

Hatókörbe eső rendszerek:

  • quoteforge.gridex.ai (fő alkalmazás)
  • api.quoteforge.gridex.ai (API végpontok)
  • A quoteforge.gridex.ai bármely altartománya

Hatókörön kívüli rendszerek (a vonatkozó szolgáltatóhoz irányítson):

  • auth.gridex.ai (Keycloak identitásszolgáltató — jelentse be a Keycloak projektnek vagy az auth-szolgáltatónak)
  • checkout.stripe.com (Stripe fizetésfeldolgozás — jelentse be a Stripe-nak a saját bejelentési programján keresztül)
  • gridex.ai (vállalati weboldal — külön hatókör)
  • Munkatársak elleni social engineering támadások
  • Harmadik fél függőségek sebezhetőségei, amelyek már nyilvánosan ismertek és függőségvizsgálónkban nyomon vannak követve

Elkötelezési szabályok

Hatókörbe eső rendszereken végzett biztonsági kutatás során a következőket tilos:

  • Denial-of-service (DoS) vagy elosztott denial-of-service (DDoS) támadások végrehajtása
  • Romboló tesztelés, más felhasználók adatainak módosítása, törlése vagy kiszűrése
  • Személyes adatok elérése, letöltése vagy másolása (ha kutatás közben személyes adatba ütközik, álljon meg, és azonnal jelentse, az adatot megőrzése nélkül)
  • Social engineering vagy adathalász támadások végrehajtása a TeleCetli Kft. munkatársai ellen
  • Hatókörön kívüli rendszerek vagy infrastruktúra tesztelése
  • Alkalmazandó jogszabályok vagy szabályozások megsértése a kutatás során
  • Aktív jogsértés vagy korábban ismeretlen támadás bizonyítékának felfedezése esetén azonnal hagyja abba a tesztelést, és jelentse be

Bejelentés módja

Küldjön e-mailt a [email protected] e-mail-címre [VULN] tárgysor-előtaggal. Az alábbi bejelentési formátum használatát javasoljuk. Kritikus sebezhetőségek esetén titkosítsa e-mailét PGP-kulcsunkkal (kérésre elérhető).

Email: security{'@'}gridex.ai

Subject prefix: [VULN]

Javasolt bejelentési formátum:

Reagálási SLA

Fedezék-klauzula (Safe Harbor)

A TeleCetli Kft. nem indít jogi eljárást azok ellen a biztonsági kutatók ellen, akik jóhiszeműen fedeznek fel és jelentenek be sebezhetőségeket a jelen szabályzatnak megfelelően. Jóhiszemű kutatásnak az a tevékenység minősül, amely: (a) a hatókörbe eső rendszerekre korlátozódik, (b) nem fér hozzá és nem szűr ki személyes adatokat, (c) nem zavarja a szolgáltatás rendelkezésre állását, (d) a nyilvános közzététel előtt kerül bejelentésre hozzánk, és (e) megfelel az összes elkötelezési szabálynak. Ha ezeknek a követelményeknek eleget tesz, tevékenységét az általunk engedélyezett jóhiszemű biztonsági kutatásnak tekintjük.

Jutalomprogram

Jelenleg nem működtetünk pénzbeli jutalmakat kínáló hibabejelentési programot. Az érvényes sebezhetőségeket felfedező és felelősségteljesen bejelentő kutatók — mérlegelésünk alapján — felkerülhetnek Biztonsági Hall of Fame-ünkre. Nagyra értékeljük a biztonsági közösség idejét és erőfeszítését, és mindig gyorsan és szakszerűen válaszolunk az érvényes bejelentésekre.