Responsible Disclosure

We waarderen het werk van beveiligingsonderzoekers en ethische hackers die helpen AliasVault en onze gebruikers veilig te houden. Als je denkt dat je een beveiligingskwetsbaarheid hebt ontdekt in AliasVault, moedigen we je aan om dit op een verantwoordelijke manier te melden.

Commitment

We nemen responsible disclosure van beveiligingskwetsbaarheden serieus. Waar van toepassing zullen we:

• Ontvangst van je rapport binnen 48 uur bevestigen
• De gerapporteerde kwetsbaarheid onderzoeken en valideren
• Regelmatige updates geven over onze voortgang
• Je vermelden in release notes en/of security advisory (indien van toepassing)
• CVE-toewijzing aanvragen waar van toepassing
• Disclosure tijdlijn met je coördineren

Disclosure richtlijnen

Om de veiligheid van onze gebruikers en systemen te waarborgen, volg deze richtlijnen:

• Geen gebruikersgegevens openen, aanpassen of verwijderen
• Alleen de minimale interactie uitvoeren die nodig is om de kwetsbaarheid aan te tonen
• Details over de kwetsbaarheid vertrouwelijk houden tot gecoördineerde openbaarmaking
• Geen toepasselijke wetten of regelgeving schenden
• Alleen testen op systemen die je bezit (self-hosted) of waarvoor je expliciete toestemming hebt

Scope

Dit beleid is van toepassing op AliasVault server, web client, browser extensies, mobiele apps en core cryptografische bibliotheken. Third-party dependencies, device OS kwetsbaarheden, hardware compromittering en social engineering aanvallen vallen buiten scope. Zie ons volledige beveiligingsbeleid voor complete details.