Skip to main content

עודכן לאחרונה: 2026-05-21

אבטחה ודיווח על פגיעויות

אנו לוקחים את אבטחת הנתונים של לקוחותינו ברצינות. אם אתם סבורים שמצאתם פגיעות אבטחה בשירות כלשהו של ELLYTIC Technologies UG (haftungsbeschränkt), אנו מעודדים אתכם לדווח לנו עליה בהתאם למדיניות שלהלן. אנו מתחייבים לעבוד בתום לב עם חוקרים ולהכיר בדיווחים תקפים.

בתוך ההיקף

הנכסים הבאים של ELLYTIC נכללים בהיקף לדיווחי אבטחה:

  • ellytic.com וכל תתי-הדומיינים (*.ellytic.com)
  • app.ellytic.com (Ops Workbench)
  • נקודות קצה של API תחת ellytic.com/api/* ו-app.ellytic.com/api/*
  • תהליכי אימות, כולל OAuth, magic-link ו-TOTP MFA
  • לוחות מחוונים של לקוחות ותהליכי הזמנה
  • תהליכי checkout של ה-Wizard, תשלום והעלאת מסמכים

מחוץ להיקף

הדברים הבאים נמצאים במפורש מחוץ להיקף, ודיווחים בנושאים אלה לא יהיו זכאים להכרה:

  • מתקפות מניעת שירות (DoS / DDoS) ובדיקות נפחיות
  • הנדסה חברתית, פישינג או מתקפות פיזיות נגד עובדים, קבלנים או לקוחות
  • ממצאים מסורקים אוטומטיים ללא proof-of-concept עובד (לדוגמה, כותרות אבטחה חסרות ללא השפעה הניתנת לניצול)
  • הצעות לשיטות עבודה מומלצות או הקשחה ללא פגיעות קונקרטית (לדוגמה, התאמות CSP, העדפות צופן TLS)
  • דיווחים נגד שירותי צד שלישי שאיננו מפעילים (Stripe, IDnow, YouSign, Sanity, Vercel, Neon, Resend) — דווחו עליהם ישירות לספק
  • בעיות המחייבות גישה פיזית למכשיר לא נעול של קורבן
  • Self-XSS או פגיעויות הדורשות שינויי תצורה מצד הקורבן כדי להיות ניתנות לניצול
  • חשיפה של תוכנה מיושנת (CVE בתלות) ללא נתיב ניצול מודגם בסביבה שלנו

כיצד לדווח

שלחו דוח מפורט אל security@ellytic.com. צרפו מספיק מידע כדי שנוכל לשחזר ולסווג את הבעיה במהירות. הצפנת PGP נתמכת לפי בקשה.

אנא אל תחשפו את הבעיה בפומבי עד שנאשר את התיקון. אנו מתחייבים להכרה פומבית (בהסכמתכם) ברגע שתיקון יוטמע.

  • כתובת URL, נקודת קצה או רכיב מושפעים
  • שחזור צעד-אחר-צעד (פקודות, payloads, התנהגות צפויה לעומת בפועל)
  • הערכת השפעה — אילו נתונים או פונקציונליות נמצאים בסיכון?
  • פרטי הקשר שלכם וכיצד תרצו לקבל הכרה (שם אמיתי, כינוי או אנונימי)
  • צילומי מסך, וידאו או יומני בקשות HTTP תומכים (אנא הסתירו נתוני צד שלישי)

Safe Harbor

לא ננקוט בהליכים אזרחיים ולא נערב גורמי אכיפת חוק עבור מחקר בתום לב התואם למדיניות זו. "בתום לב" משמעו:

  • אתם עושים מאמץ אמיתי להימנע מהפרות פרטיות, השמדת נתונים והפרעה לשירות
  • אתם מפסיקים לבחון ברגע שקבעתם שפגיעות קיימת, ומדווחים עליה
  • אינכם ניגשים, משנים או מורידים נתונים מעבר למינימום הנדרש להדגמת הבעיה
  • אתם מכוונים רק לחשבונות הבדיקה שלכם — לעולם לא לנתוני לקוח אחר
  • אינכם מנצלים את הבעיה לרווח ואינכם משתפים אותה עם צדדים שלישיים לפני החשיפה
  • אתם נותנים לנו חלון זמן סביר (ראו זמני תגובה למטה) לתיקון לפני כל חשיפה פומבית

זמני התגובה שלנו

אנו שואפים להגיב לדיווחי אבטחה במסגרת יעדים אלה. בעיות קריטיות מקבלות עדיפות על פני עבודה מתוכננת.

  • אישור ראשוני: בתוך 2 ימי עסקים
  • סיווג והערכת חומרה: בתוך 5 ימי עסקים
  • עדכוני סטטוס במהלך התיקון: לפחות אחת ל-14 ימים
  • יעד פתרון (חומרה קריטית / גבוהה): 30 ימים מאישור
  • יעד פתרון (חומרה בינונית / נמוכה): 90 ימים מאישור
  • חשיפה פומבית: בתיאום עם המדווח, בדרך כלל לאחר פריסה של תיקון

תגמולים

ELLYTIC אינה מפעילה כיום תוכנית bug-bounty בתשלום. אנו נכיר בפומבי בדיווחים תקפים (בהסכמתכם) בעמוד זה ובאולם התהילה שלנו. ככל שנגדל, אנו מתכננים להציג תגמולים כספיים עבור ממצאים בעלי השפעה גבוהה — מדווחי דיווחים מתאימים יוזמנו ראשונים.

תודות

אנו מודים לכל החוקרים שדיווחו לנו על בעיות באחריות. המדווחים מופיעים כאן בהסכמתם. (אין דיווחים פומביים עד כה — היו הראשונים.)

יצירת קשר

כל ההתכתבות בנושאי אבטחה צריכה להישלח אל security@ellytic.com.

  • דוא"ל: security@ellytic.com
  • קריא במכונה: /.well-known/security.txt (RFC 9116)
  • שפות מועדפות: אנגלית, גרמנית
  • דואר: ELLYTIC Technologies UG (haftungsbeschränkt), ראו Imprint לכתובת המלאה
חזרה לדף הבית