Skip to main content

Τελευταία ενημέρωση: 2026-05-21

Ασφάλεια & Αναφορά Ευπαθειών

Λαμβάνουμε σοβαρά υπόψη την ασφάλεια των δεδομένων των πελατών μας. Εάν πιστεύετε ότι έχετε εντοπίσει μια ευπάθεια ασφαλείας σε οποιαδήποτε υπηρεσία της ELLYTIC Technologies UG (haftungsbeschränkt), σας ενθαρρύνουμε να μας την αναφέρετε σύμφωνα με την παρακάτω πολιτική. Δεσμευόμαστε να συνεργαζόμαστε καλόπιστα με ερευνητές και να αναγνωρίζουμε έγκυρες αναφορές.

Εντός Πεδίου Εφαρμογής

Οι ακόλουθες ιδιότητες της ELLYTIC εμπίπτουν στο πεδίο εφαρμογής για αναφορές ασφαλείας:

  • ellytic.com και όλα τα subdomains (*.ellytic.com)
  • app.ellytic.com (Ops Workbench)
  • Σημεία πρόσβασης API υπό ellytic.com/api/* και app.ellytic.com/api/*
  • Ροές αυθεντικοποίησης, συμπεριλαμβανομένων των OAuth, magic-link και TOTP MFA
  • Πίνακες ελέγχου πελατών και ροές παραγγελιών
  • Wizard checkout, πληρωμή και ροές μεταφόρτωσης εγγράφων

Εκτός Πεδίου Εφαρμογής

Τα ακόλουθα βρίσκονται ρητά εκτός πεδίου εφαρμογής και οι σχετικές αναφορές δεν θα είναι επιλέξιμες για αναγνώριση:

  • Επιθέσεις άρνησης υπηρεσίας (DoS / DDoS) και ογκομετρικές δοκιμές
  • Κοινωνική μηχανική, phishing ή φυσικές επιθέσεις κατά υπαλλήλων, εργολάβων ή πελατών
  • Ευρήματα από αυτοματοποιημένους σαρωτές χωρίς λειτουργικό proof-of-concept (π.χ. ελλείποντα security headers χωρίς εκμεταλλεύσιμη επίπτωση)
  • Προτάσεις βέλτιστων πρακτικών ή σκλήρυνσης χωρίς συγκεκριμένη ευπάθεια (π.χ. ρυθμίσεις CSP, προτιμήσεις TLS cipher)
  • Αναφορές κατά υπηρεσιών τρίτων που δεν λειτουργούμε εμείς (Stripe, IDnow, YouSign, Sanity, Vercel, Neon, Resend) — αναφέρετέ τις απευθείας στον προμηθευτή
  • Ζητήματα που απαιτούν φυσική πρόσβαση στη ξεκλείδωτη συσκευή ενός θύματος
  • Self-XSS ή ευπάθειες που απαιτούν αλλαγές διαμόρφωσης από το θύμα για να είναι εκμεταλλεύσιμες
  • Αποκάλυψη απαρχαιωμένου λογισμικού (CVE σε εξάρτηση) χωρίς αποδεδειγμένη διαδρομή exploit στο περιβάλλον μας

Πώς να Αναφέρετε

Στείλτε μια λεπτομερή αναφορά στο security@ellytic.com. Συμπεριλάβετε αρκετές πληροφορίες ώστε να μπορέσουμε να αναπαραγάγουμε και να ταξινομήσουμε γρήγορα το ζήτημα. Η κρυπτογράφηση PGP υποστηρίζεται κατόπιν αιτήματος.

Παρακαλούμε μην αποκαλύπτετε δημόσια το ζήτημα μέχρι να επιβεβαιώσουμε την αποκατάστασή του. Δεσμευόμαστε σε δημόσια αναγνώριση (με τη συγκατάθεσή σας) μόλις διανεμηθεί η διόρθωση.

  • Σχετική URL, σημείο πρόσβασης ή συστατικό στοιχείο
  • Αναπαραγωγή βήμα-προς-βήμα (εντολές, payloads, αναμενόμενη vs. πραγματική συμπεριφορά)
  • Αξιολόγηση επιπτώσεων — ποια δεδομένα ή λειτουργικότητα κινδυνεύουν;
  • Τα στοιχεία επικοινωνίας σας και πώς θα θέλατε να αναγνωριστείτε (πραγματικό όνομα, ψευδώνυμο ή ανώνυμα)
  • Τυχόν στιγμιότυπα οθόνης, βίντεο ή HTTP request logs υποστήριξης (παρακαλούμε αποκρύψτε τυχόν δεδομένα τρίτων)

Safe Harbor

Δεν θα προχωρήσουμε σε αστική αγωγή ή εμπλοκή των αρχών επιβολής του νόμου για καλόπιστη έρευνα που συμμορφώνεται με αυτήν την πολιτική. «Καλόπιστη» σημαίνει:

  • Καταβάλλετε γνήσια προσπάθεια να αποφύγετε παραβιάσεις απορρήτου, καταστροφή δεδομένων και διακοπή της υπηρεσίας
  • Σταματάτε τις δοκιμές μόλις διαπιστώσετε ότι υπάρχει ευπάθεια και την αναφέρετε
  • Δεν αποκτάτε πρόσβαση, δεν τροποποιείτε ή κατεβάζετε δεδομένα πέραν του ελαχίστου που απαιτείται για την επίδειξη του ζητήματος
  • Στοχεύετε μόνο τους δικούς σας λογαριασμούς δοκιμών — ποτέ δεδομένα άλλου πελάτη
  • Δεν εκμεταλλεύεστε το ζήτημα για κέρδος και δεν το μοιράζεστε με τρίτους πριν από την αποκάλυψη
  • Μας παρέχετε ένα εύλογο χρονικό περιθώριο (βλ. χρόνους απόκρισης παρακάτω) για αποκατάσταση πριν από οποιαδήποτε δημόσια αποκάλυψη

Οι Χρόνοι Απόκρισής μας

Στοχεύουμε να ανταποκριθούμε σε αναφορές ασφαλείας εντός αυτών των στόχων. Τα κρίσιμα ζητήματα έχουν προτεραιότητα έναντι του προγραμματισμένου έργου.

  • Αρχική επιβεβαίωση: εντός 2 εργάσιμων ημερών
  • Διαλογή και αξιολόγηση σοβαρότητας: εντός 5 εργάσιμων ημερών
  • Ενημερώσεις κατάστασης κατά τη διάρκεια της αποκατάστασης: τουλάχιστον κάθε 14 ημέρες
  • Στόχος επίλυσης (κρίσιμη / υψηλή σοβαρότητα): 30 ημέρες από την επιβεβαίωση
  • Στόχος επίλυσης (μέτρια / χαμηλή σοβαρότητα): 90 ημέρες από την επιβεβαίωση
  • Δημόσια αποκάλυψη: συντονισμένη με τον αναφέροντα, συνήθως μετά την ανάπτυξη μιας διόρθωσης

Ανταμοιβές

Η ELLYTIC δεν λειτουργεί επί του παρόντος αμειβόμενο πρόγραμμα bug-bounty. Θα αναγνωρίσουμε δημόσια έγκυρες αναφορές (με τη συγκατάθεσή σας) σε αυτήν τη σελίδα και στο hall of fame μας. Καθώς αναπτυσσόμαστε, σχεδιάζουμε να εισαγάγουμε χρηματικές ανταμοιβές για ευρήματα υψηλού αντίκτυπου — οι αναφέροντες επιλέξιμων αναφορών θα προσκληθούν πρώτοι.

Ευχαριστίες

Ευχαριστούμε όλους τους ερευνητές που μας έχουν αναφέρει υπεύθυνα ζητήματα. Οι αναφέροντες παρατίθενται εδώ με τη συγκατάθεσή τους. (Καμία δημόσια αναφορά μέχρι σήμερα — γίνετε ο πρώτος.)

Επικοινωνία

Όλη η αλληλογραφία σχετικά με την ασφάλεια θα πρέπει να αποστέλλεται στο security@ellytic.com.

  • Email: security@ellytic.com
  • Μηχανικά αναγνώσιμο: /.well-known/security.txt (RFC 9116)
  • Προτιμώμενες γλώσσες: Αγγλικά, Γερμανικά
  • Ταχυδρομική: ELLYTIC Technologies UG (haftungsbeschränkt), βλ. Imprint για την πλήρη διεύθυνση
Πίσω στην Αρχική