Trust Center · Bug Bounty

Divulgation responsable

Scope · règles · délais · programme de récompense en préparation

Vous avez trouvé une vulnérabilité ?

support@skyvaultcloud.xyz

Objet du message : Security disclosure · routage security@ dédié en cours (Cloudflare Email Routing).

Nous répondrons sous 72 heures ouvrées.

Scope (dans le périmètre)

  • Application mobile SkyVault (Android / iOS), builds officiels stores ou flavors documentés
  • Site skyvaultcloud.xyz et Trust Center
  • Cloud Functions Firebase exposées (callables HTTP authentifiées)
  • Flux d'authentification, passkeys, partage sécurisé, chiffrement client
  • Configuration Firestore rules et accès B2 via URLs signées

Autorisé

  • Tests sur votre propre compte et vos propres données
  • Preuve de concept minimale démontrant l'impact
  • Signalement privé avant toute divulgation publique

Interdit (hors scope)

  • Accès aux données d'autres utilisateurs
  • Déni de service (DoS / DDoS) ou tests de charge agressifs
  • Ingénierie sociale, phishing, physical access
  • Spam ou scans automatisés massifs sans impact démontré
  • Exploitation au-delà de ce qui est nécessaire à la preuve

Politique de divulgation

  1. Contactez-nous en privé avec une description claire et les étapes de reproduction
  2. Nous accusons réception sous 72 h ouvrées
  3. Nous investigons et partageons l'avancement dans un délai raisonnable
  4. Corrigez-nous laisser 90 jours avant divulgation publique (sauf accord mutuel)
  5. Reconnaissance publique possible dans le rapport de transparence (avec votre accord)

Bug bounty rémunéré

Programme avec récompenses financières : en préparation. En attendant, nous remercions les chercheurs qui nous aident à protéger tous les utilisateurs.

Hall of Fame

Merci aux chercheurs qui nous aident à sécuriser SkyVault (avec leur accord explicite).

NomPaysDateRemerciement
Aucun chercheur listé pour l'instant.

Processus d'ajout : après divulgation validée et accord du chercheur, publication ici et dans le rapport de transparence.

Voir aussi : security.txt · Rapport de transparence