_CORE

Responsible Disclosure

Bezpečnost našich systémů bereme vážně. Pokud jste nalezli zranitelnost, dejte nám vědět.

Responsible disclosure — hero ilustrace

1. Kontakt

Pokud jste objevili bezpečnostní zranitelnost v našich systémech nebo na našem webu, kontaktujte nás prosím na:

Email: security@core.cz
Alternativně: info@core.cz

Pro citlivé informace doporučujeme šifrovanou komunikaci. V případě zájmu vám na vyžádání poskytneme PGP klíč.

2. Pravidla nahlášení

Při nahlašování zranitelnosti prosím dodržujte následující pravidla:

  • Jasně popište nalezenou zranitelnost a její potenciální dopad.
  • Uveďte kroky potřebné k reprodukci problému.
  • Pokud je to relevantní, přiložte screenshoty, logy nebo proof of concept.
  • Nepublikujte informace o zranitelnosti před tím, než bude opravena a než se s námi dohodnete na zveřejnění.
  • Neprovádějte žádné destruktivní akce — nemanipulujte s daty jiných uživatelů, nemažte ani nemodifikujte data.
  • Nepřistupujte k datům, ke kterým nemáte oprávnění, nad rámec nezbytný pro prokázání zranitelnosti.

3. Co nahlásit

Uvítáme nahlášení těchto typů zranitelností:

  • Cross-Site Scripting (XSS)
  • SQL Injection a další typy injection útoků
  • Authentication a authorization bypass
  • Neoprávněný přístup k datům (data exposure)
  • Server-Side Request Forgery (SSRF)
  • Bezpečnostní misconfiguration
  • Remote Code Execution (RCE)
  • Jiné zranitelnosti s reálným bezpečnostním dopadem

4. Co NENAHLAŠOVAT

Následující typy problémů prosím nenahlašujte prostřednictvím tohoto kanálu:

  • Spam, phishing a social engineering útoky
  • Denial of Service (DoS/DDoS) útoky — nesnažte se je ani provádět
  • Problémy s fyzickou bezpečností
  • Chybějící best practices, které nepředstavují reálnou zranitelnost (např. chybějící HTTP hlavičky bez exploitovatelného dopadu)
  • Výstupy automatizovaných skenerů bez ověření a kontextu

5. Náš závazek

Ke každému nahlášení přistupujeme zodpovědně a s respektem k výzkumníkovi:

  • Potvrzení přijetí — na vaše nahlášení odpovíme do 48 hodin.
  • Oprava — vynaložíme úsilí k opravě potvrzené zranitelnosti do 30 dnů (u kritických dříve).
  • Informování — budeme vás průběžně informovat o stavu opravy a výsledku.
  • Bez právních kroků — pokud budete dodržovat pravidla uvedená výše, nepodnikneme proti vám žádné právní kroky.

6. Uznání

Ceníme si práce bezpečnostních výzkumníků. S vaším souhlasem vás rádi uvedeme v našem Hall of Fame — seznamu lidí, kteří přispěli k bezpečnosti našich systémů.

Při nahlášení nám prosím sdělte, zda si přejete být uvedeni jménem, přezdívkou, nebo zda preferujete anonymitu.

Poslední aktualizace: 7. února 2026