Responsible Disclosure

AliasVault neemt beveiliging serieus en moedigt responsible disclosure van beveiligingskwetsbaarheden aan.

  • Home
  • Responsible Disclosure

We waarderen het werk van beveiligingsonderzoekers en ethische hackers die helpen AliasVault en onze gebruikers veilig te houden. Als je denkt dat je een beveiligingskwetsbaarheid hebt ontdekt in AliasVault, moedigen we je aan om dit op een verantwoordelijke manier te melden.

Meld beveiligingskwetsbaarheden aan:

security@support.aliasvault.net

Commitment

We nemen responsible disclosure van beveiligingskwetsbaarheden serieus. Waar van toepassing zullen we:

  • Ontvangst van je rapport binnen 48 uur bevestigen
  • De gerapporteerde kwetsbaarheid onderzoeken en valideren
  • Regelmatige updates geven over onze voortgang
  • Je vermelden in onze security advisory (indien gewenst)
  • CVE-toewijzing aanvragen waar van toepassing
  • Disclosure tijdlijn met je coördineren

Disclosure richtlijnen

Om de veiligheid van onze gebruikers en systemen te waarborgen, volg deze richtlijnen:

  • Geen gebruikersgegevens openen, aanpassen of verwijderen
  • Alleen de minimale interactie uitvoeren die nodig is om de kwetsbaarheid aan te tonen
  • Details over de kwetsbaarheid vertrouwelijk houden tot gecoördineerde openbaarmaking
  • Geen toepasselijke wetten of regelgeving schenden
  • Alleen testen op systemen die je bezit (self-hosted) of waarvoor je expliciete toestemming hebt

Scope

Dit beleid is van toepassing op de AliasVault hoofdapplicatie (app.aliasvault.net) en API endpoints. Social engineering, fysieke aanvallen, denial of service, spam en geautomatiseerd scannen zonder voorafgaande goedkeuring worden doorgaans als buiten scope beschouwd.

Hall of Fame

Deze Hall of Fame bestaat uit beveiligingsonderzoekers die AliasVault veiliger hebben gemaakt door in het verleden verantwoordelijk kwetsbaarheden te melden. We erkennen en bedanken deze onderzoekers voor hun waardevolle bijdragen:

Filippo Decortes(Bitcube Security)

September 19, 2025

highCVE-2025-59344

Server-Side Request Forgery (SSRF) vulnerability in favicon extraction feature allowing internal network scanning and limited data exfiltration in AliasVault API versions ≤0.23.0

Advisory BekijkenGHSA-f253-f7xc-w7pj