Vsa poročila pošlji na security@ebusi.si. Vključi opis ranljivosti, korake ponovitve in pričakovani vpliv.
Pošlji sporočiloČe poročilo vsebuje občutljive podatke, uporabi PGP ključ (Curve25519) objavljen v datoteki security.txt.
Prenesi ključPrejem potrdimo v treh delovnih dneh. O poteku odprave te sproti obveščamo v istem e-poštnem nizu.
Ranljivosti, ki so znotraj obsega:
- Vsa proizvodna in testna okolja na domeni *.ebusi.si, vključno z API-ji in PWA aplikacijo.
- Ranljivosti, ki razkrijejo osebne podatke, omogočijo nepooblaščen dostop ali spreminjanje GTFS podatkov.
- API-ji in integracije, ki jih ponujamo občini ali javnosti (npr. /api/vehicles).
Izven obsega (brez nagrad ali priznanja):
- Napadi DoS/DDoS, brute-force in avtomatizirani testi obremenitev.
- Socialni inženiring, phishing ali fizični dostop do naprav tretjih oseb.
- Napake, ki izvirajo iz storitev tretjih ponudnikov (npr. MapLibre, Google Workspace).
Testiraj na svojih računih in uporabljaj minimalne podatkovne nize. Ne zbiraj ali prenašaj osebnih podatkov uporabnikov in se izogibaj spremembam v produkcijskih bazah.
Če odkriješ kritično ranljivost, se pred javnim razkritjem uskladi z nami. V zameno ponujamo transparentnost in – če želiš – javno zahvalo.
Potek odziva
1. Pripravi varno poročilo
Opis, vpliv, posnetki zaslona in logi. Uporabi PGP, če je potrebno, in testiraj na lastnih računih.
2. Potrditev in analiza
V treh dneh potrdimo prejem ter interno reproduciramo ranljivost. Dogovorimo se za realen rok odprave.
3. Odprava in povratne informacije
Po uspešni odpravi te obvestimo ter – če želiš – z veseljem navedenemo tvoje ime v zahvali.
Safe Harbor
Pravna zaščita za raziskovalce
Če spoštuješ to politiko in ne prekoračiš obsega, ne bomo sprožili pravnih postopkov. Naš cilj je varnejši javni promet za vse uporabnike.