Sårbarhetsrapportering

Senast uppdaterad: 2026-05-22

Vi välkomnar säkerhetsforskning som bedrivs i god tro. Denna policy förklarar vad som ingår, hur man rapporterar och vad vi åtar oss i gengäld.

Rapportera en sårbarhet

E-post: security@konduit.punkter.app Mottagningsbekräftelse: 5 arbetsdagar Inledande bedömning: 14 arbetsdagar

Inkludera i din rapport:

• Påverkad URL eller endpoint
• Reproduktionssteg
• Konsekvensbedömning (vad kan en angripare uppnå?)
• Ditt namn och kontakt (eller pseudonym om du vill ha erkännande)

Inom räckvidd

• konduit.punkter.app
• api.konduit.punkter.app
• Alla subdomäner som slutar på .konduit.punkter.app

Utanför räckvidd

• Hetzner-infrastruktur (rapportera till Hetzner direkt)
• Stripe / Resend / Keycloak / GitHub-tjänster (rapportera till leverantör)
• Social engineering av Konduit-personal
• Fysiska attacker
• Denial-of-service-attacker
• Problem i tredjeparts open source-beroenden (rapportera uppströms först; vi koordinerar)
• E-postförfalskning om SPF/DKIM/DMARC godkänns

Safe harbour

Om du gör en god-tro-ansträngning att följa denna policy under din forskning kommer Konduit:

• Inte väcka rättsliga åtgärder mot dig enligt brottsbalken 4 kap. § 9 c (dataintrång) eller relaterade bestämmelser
• Arbeta med dig för att förstå och lösa problemet snabbt
• Erkänna ditt bidrag offentligt (med ditt tillstånd) om du vill

"God-tro-ansträngning" innebär:

• Du har inte åtkommit, modifierat, exfiltrerat eller förstört data utöver det minimum som krävs för att demonstrera sårbarheten
• Du har inte riktat dig mot andra Konduit-användare
• Du har inte använt sårbarheten för personlig vinning
• Du rapporterade omgående via kanalen ovan
• Du gav oss ett rimligt offentliggörandefönster innan du gick offentligt (90 dagar standard)

Vad vi åtar oss

• Bekräfta din rapport inom 5 arbetsdagar
• Ge en inledande bedömning inom 14 arbetsdagar
• Hålla dig informerad under åtgärdsarbetet
• Erkänna dig offentligt med ditt tillstånd
• Inte väcka rättsliga åtgärder för god-tro-forskning per safe harbour ovan

Vad vi ber dig om

• Använd endast tillgångar inom scope
• Åtkom inte data utöver vad som behövs för att demonstrera problemet
• Stör inte tjänsten för andra användare
• Ge oss ett rimligt fönster innan offentliggörande (90 dagar standard)
• Sälj inte eller dela sårbarheten med tredje part före koordinerat offentliggörande

Bug bounty

Vi erbjuder för närvarande inga monetära belöningar. Vi erbjuder erkännande, koordinering och vår tacksamhet.

Allvarlighetsgrad

Vi använder CVSS v3.1. Patch-SLA:

• Kritisk (CVSS 9.0+): åtgärdad inom 7 dagar
• Hög (CVSS 7.0–8.9): inom 30 dagar
• Medel (CVSS 4.0–6.9): inom 90 dagar
• Låg (CVSS < 4.0): nästa release

Kontakt

security@konduit.punkter.app

För säkerhetsfrågor som inte gäller sårbarheter: compliance@konduit.punkter.app