Zodpovědné hlášení zranitelností
Pomáhejte nám udržet Šepot bezpečný. Nahlaste zranitelnost zodpovědně a budete uvedeni v naší síni slávy.
Účinnost od: 1. března 2026 | Verze 1.0
Rychlý kontakt na bezpečnostní tým
[email protected] — odpovídáme do 48 hodin
1. Úvod
Bezpečnost Šepotu je pro nás prioritou. Vítáme a oceňujeme spolupráci bezpečnostní komunity při identifikaci zranitelností. Tento dokument popisuje proces zodpovědného hlášení (responsible disclosure) bezpečnostních zranitelností.
Věříme, že spolupráce s bezpečnostními výzkumníky je klíčová pro udržení bezpečnosti naší služby a ochranu soukromí uživatelů.
2. Jak nahlásit zranitelnost
Bezpečnostní zranitelnosti hlaste na:
- E-mail: [email protected]
- PGP klíč: [PGP klíč bude publikován po spuštění]
- GitHub Security Advisories: github.com/juliusjoska/sepot
Při hlášení prosíme uveďte:
- Popis zranitelnosti a její typ (např. XSS, SQLi, RCE)
- Postup reprodukce (krok po kroku)
- Dotčené verze a komponenty
- Potenciální dopad na uživatele
- Návrh opravy (pokud máte)
- Vaše kontaktní údaje (pro zpětnou vazbu)
Pro šifrovanou komunikaci použijte náš PGP klíč. E-maily na adresu [email protected] jsou monitorovány a na hlášení odpovídáme do 48 hodin.
3. Co hlásit
Hlašte prosím zranitelnosti, které mají reálný dopad na bezpečnost služby nebo soukromí uživatelů:
V rozsahu (in scope)
- Zranitelnosti v kryptografickém protokolu Šepotu
- Obcházení end-to-end šifrování
- Únik soukromých klíčů nebo metadat
- Neoprávněný přístup k účtům uživatelů
- Remote Code Execution (RCE) na serveru
- SQL Injection, XSS, CSRF
- Zranitelnosti v autentizaci a autorizaci
- Server-Side Request Forgery (SSRF)
- Zranitelnosti v API
- Únik citlivých dat (klíče, tokeny, konfigurace)
Mimo rozsah (out of scope)
- Sociální inženýrství (phishing) zaměstnanců
- Fyzický přístup k zařízením
- Denial of Service (DoS/DDoS) útoky
- Spam a rate limiting
- Zranitelnosti v software třetích stran (pokud nesouvisejí přímo s naší integrací)
- Problémy, které vyžadují zastaralý prohlížeč nebo operační systém
- Chybějící bezpečnostní hlavičky bez prokázaného dopadu
- Automatizované skenery bez ověření výsledků
4. Pravidla zodpovědného hlášení
Při výzkumu a hlášení zranitelností dodržujte prosím tato pravidla:
- Nezdílejte veřejně — nezdílejte detaily zranitelnosti veřejně, dokud nebude opravena a koordinovaně zveřejněna
- Minimální dopad — nepokoušejte se přistupovat k datům jiných uživatelů, neprovádějte destruktivní testy
- Žádný spam — nezasílejte hromadné zprávy, nevytvářejte masově testovací účty
- Pouze testovací data — používejte vlastní testovací účty a data, ne účty skutečných uživatelů
- Dodržujte zákony — vaše testování musí být v souladu s platnými právními předpisy ČR a EU
- Spolupracujte — buďte připraveni spolupracovat na ověření a opravě zranitelnosti
5. Safe harbor
Zavazujeme se, že pokud budete dodržovat pravidla zodpovědného hlášení uvedená v tomto dokumentu:
- Nebudeme podnikat právní kroky proti vám za bezpečnostní výzkum provedený v souladu s touto politikou
- Budeme s vámi spolupracovat na pochopení a ověření hlášené zranitelnosti
- Opravíme zranitelnost v co nejkratší době a budeme vás informovat o průběhu
- Uznáme vaši práci ve veřejném poděkování (pokud si to přejete)
Safe harbor se vztahuje výhradně na bezpečnostní výzkum provedený v dobré víře a v souladu s touto politikou. Nevztahuje se na záměrně destruktivní chování, přístup k datům jiných uživatelů nebo porušení platných zákonů.
6. Časové lhůty
Zavazujeme se dodržovat následující časové lhůty:
| Akce | Lhůta |
|---|---|
| Potvrzení přijetí hlášení | Do 48 hodin |
| Předběžné posouzení závažnosti | Do 5 pracovních dnů |
| Oprava kritických zranitelností | Do 7 dnů |
| Oprava ostatních zranitelností | Do 30 dnů |
| Koordinované zveřejnění | Do 90 dnů od hlášení |
Lhůta pro koordinované zveřejnění (90 dnů) začíná běžet dnem přijetí hlášení. Po uplynutí této lhůty máte právo zranitelnost zveřejnit bez ohledu na stav opravy. V odůvodněných případech (například komplikovaná oprava) vás můžeme požádat o prodloužení lhůty — rozhodnutí je vždy na vás.
7. Klasifikace závažnosti
Závažnost zranitelností klasifikujeme dle CVSS (Common Vulnerability Scoring System):
Vzdálené spuštění kódu, obcházení E2E šifrování, únik soukromých klíčů
Převzetí účtu, SQL injection, SSRF s přístupem k interním službám
Stored XSS, CSRF s dopadem, únik neveřejných informací
Reflected XSS, informační úniky s minimálním dopadem
8. Hall of Fame
Výzkumníky, kteří zodpovědně nahlásili bezpečnostní zranitelnost, rádi uvedeme v naší síni slávy (s jejich souhlasem). Poděkování zahrnuje:
- Uvedení jména (nebo přezdívky) na této stránce
- Odkaz na váš profil nebo web
- Popis nahlášené zranitelnosti (po opravě)
Zatím nebyly nahlášeny žádné zranitelnosti. Buďte první, kdo přispěje k bezpečnosti Šepotu!
V současné době nenabízíme finanční odměny (bug bounty). Jako open source projekt s omezeným rozpočtem nabízíme veřejné uznání a poděkování. V budoucnu plánujeme zavést formální bug bounty program.
9. PGP klíč
Pro šifrovanou komunikaci s bezpečnostním týmem použijte následující PGP klíč:
[PGP veřejný klíč bude publikován po spuštění služby]
Fingerprint: [bude doplněn]
PGP klíč je rovněž dostupný na veřejných keyserverech a na našem GitHubu.
10. Kontakt
- Bezpečnostní hlášení: [email protected]
- Obecné dotazy: [email protected]
- GitHub: github.com/juliusjoska/sepot
Děkujeme za váš příspěvek k bezpečnosti Šepotu a ochraně soukromí našich uživatelů.
Shrnutí
Hlaste zranitelnosti na [email protected]. Dodržujte pravidla zodpovědného hlášení — nezdílejte veřejně, nepoužívejte data jiných uživatelů, spolupracujte na opravě. Na oplátku garantujeme safe harbor, odpověď do 48 hodin a veřejné poděkování. Koordinované zveřejnění po 90 dnech.