Responsible Disclosure

We waarderen het werk van beveiligingsonderzoekers en ethische hackers die helpen AliasVault en onze gebruikers veilig te houden. Als je denkt dat je een beveiligingskwetsbaarheid hebt ontdekt in AliasVault, moedigen we je aan om dit op een verantwoordelijke manier te melden.

Commitment

We nemen responsible disclosure van beveiligingskwetsbaarheden serieus. Waar van toepassing zullen we:

• Ontvangst van je rapport binnen 48 uur bevestigen
• De gerapporteerde kwetsbaarheid onderzoeken en valideren
• Regelmatige updates geven over onze voortgang
• Je vermelden in onze security advisory (indien gewenst)
• CVE-toewijzing aanvragen waar van toepassing
• Disclosure tijdlijn met je coördineren

Disclosure richtlijnen

Om de veiligheid van onze gebruikers en systemen te waarborgen, volg deze richtlijnen:

• Geen gebruikersgegevens openen, aanpassen of verwijderen
• Alleen de minimale interactie uitvoeren die nodig is om de kwetsbaarheid aan te tonen
• Details over de kwetsbaarheid vertrouwelijk houden tot gecoördineerde openbaarmaking
• Geen toepasselijke wetten of regelgeving schenden
• Alleen testen op systemen die je bezit (self-hosted) of waarvoor je expliciete toestemming hebt

Scope

Dit beleid is van toepassing op de AliasVault hoofdapplicatie (app.aliasvault.net) en API endpoints. Social engineering, fysieke aanvallen, denial of service, spam en geautomatiseerd scannen zonder voorafgaande goedkeuring worden doorgaans als buiten scope beschouwd.