Polityka skoordynowanego ujawniania podatności (CVD) K0NSULT. To pierwsza rzecz, którą sprawdza rzetelny badacz bezpieczeństwa, oceniając powagę organizacji: czy jest dokąd zgłosić, czy działanie w dobrej wierze jest chronione, i co jest w zakresie. Zgodnie z ISO/IEC 29147 (ujawnianie) i ISO/IEC 30111 (obsługa podatności).
Autoryzujemy testy bezpieczeństwa w granicach tej polityki i zobowiązujemy się do działania w dobrej wierze wobec badaczy, którzy działają w dobrej wierze wobec nas. Ta polityka jest realnym zobowiązaniem organizacji LIVE, nie deklaracją marketingową.
Przyjmujemy zgłoszenia podatności od każdego badacza i traktujemy je poważnie. Zobowiązujemy się do:
Evidence-first. Każda przyjęta podatność otrzymuje status dowodowy i jest zamykana wyłącznie po dowodzie naprawy (walidacja). Ta sama doktryna claim ≤ proof, która rządzi całym portalem ipIII, rządzi obsługą zgłoszeń.
Jeżeli działasz w dobrej wierze i w granicach tej polityki, uznajemy Twoje działania za autoryzowane. W szczególności:
Testy w zakresie in-scope, wykonane zgodnie z zasadami niżej, traktujemy jako dozwolone — nie jako nieuprawniony dostęp.
Nie zgłosimy Cię do organów ścigania ani nie wytoczymy powództwa cywilnego za działanie zgodne z polityką.
Jeśli przypadkowo przekroczysz zakres, ale niezwłocznie przerwiesz, zgłosisz i nie wykorzystasz dostępu — potraktujemy to jako działanie w dobrej wierze.
Jeśli osoba trzecia podejmie wobec Ciebie kroki za działania zgodne z tą polityką, poinformujemy, że były autoryzowane.
• Aplikacja webowa k0nsult.cloud i jej publiczne poddomeny
• Publiczne API k0nsult.cloud/api/*
• Uwierzytelnianie, autoryzacja, kontrola dostępu (IDOR/BOLA)
• Wstrzyknięcia (SQLi, XSS, SSRF, wstrzyknięcie promptu do funkcji AI)
• Ujawnienie danych, błędna konfiguracja, ekspozycja sekretów
• Ataki wolumetryczne / DoS / DDoS, stress i load testy
• Socjotechnika pracowników, phishing, vishing, pretexting
• Ataki fizyczne na biura, sprzęt, personel
• Testy na kontach / danych realnych użytkowników bez zgody
• Spam, automatyczne skanery generujące szum bez weryfikacji
• Podatności wyłącznie w zależnościach osób trzecich bez wpływu na nas
Zasada minimalnego wpływu. Jeśli test może naruszyć dostępność, integralność danych lub prywatność użytkowników — nie wykonuj go. Zatrzymaj się i zapytaj przez kanał kontaktowy.
Kanał kontaktowy jest publikowany w standardzie security.txt (RFC 9116):
# https://k0nsult.cloud/.well-known/security.txt Contact: mailto:security@k0nsult.cloud Policy: https://k0nsult.cloud/ai-truth/ipIII/disclosure Preferred-Languages: pl, en Canonical: https://k0nsult.cloud/.well-known/security.txt
Preferowany szablon zgłoszenia (im pełniej, tym szybszy triage):
Zegary reakcji spójne z playbookiem podatności (severity → czas naprawy):
| Faza | Cel czasowy | Priorytet |
|---|---|---|
| Potwierdzenie przyjęcia (ACK) | ≤ 72 h robocze | wszystkie |
| Triage i wstępna klasyfikacja | ≤ 5 dni roboczych | wszystkie |
| Naprawa krytyczna / aktywnie wykorzystywana (KEV) | 24–48 h | P0 |
| Naprawa wysoka | ≤ 7 dni | P1 |
| Naprawa średnia | ≤ 30 dni | P2 |
| Naprawa niska / hardening | ≤ 90 dni | P3 |
| Skoordynowane ujawnienie | uzgodnione, domyślnie ≤ 90 dni | wszystkie |
Klasyfikacja severity wg wektora CVSS i faktycznej eksploatowalności. KEV = Known Exploited Vulnerability. Szczegóły procesu: playbook podatności.
Nie pobieraj, nie kopiuj i nie przechowuj danych wykraczających poza minimum konieczne do udowodnienia podatności.
Nie modyfikuj, nie usuwaj i nie szyfruj danych. Nie zakłócaj dostępności usługi.
Zatrzymaj się na dowodzie koncepcji. Nie eskaluj, nie pivotuj, nie utrwalaj dostępu.
Napotkane dane osobowe zgłoś i usuń natychmiast. Nie przeglądaj cudzych kont.
Nie ujawniaj publicznie przed naprawą i bez uzgodnienia terminu. Ujawnienie skoordynowane.
Testuj tylko na własnych kontach testowych. Zero payloadów ofensywnych na produkcji.
/.well-known/security.txt — kanoniczny kanał kontaktu (RFC 9116).
Uznanie i nagrody — hall of fame, kryteria, poziomy.
Proces obsługi — triage, severity, zegary naprawy (ISO 30111).
Wywiad o zagrożeniach — kontekst KEV/CVE dla priorytetyzacji.
| Obszar | Status |
|---|---|
k0nsult.cloud — publiczne strony statyczne | in-scope (pasywne / low-impact) |
/ai-truth/ipIII/sentinel i strony ćwiczeń | in-scope (tylko demo) |
/api/* | out-of-scope (o ile nie zaproszono wprost) |
| Panele logowania / admin | out-of-scope |
| Dane produkcyjne / dane osób | out-of-scope |
| Usługi stron trzecich | out-of-scope |
| DoS / testy obciążeniowe | ZABRONIONE |
| Socjotechnika (pracownicy) | ZABRONIONE |
| Ataki fizyczne | ZABRONIONE |
| Eksfiltracja danych | ZABRONIONE |
| Naruszenie prywatności | ZABRONIONE |