Politika zodpovedného nahlasovania zraniteľností
Formuláre TUKE · Posledná aktualizácia: 2026-06-04 ·
Strojovo čitateľný kontakt: security.txt
Vážime si pomoc bezpečnostných výskumníkov, etických hackerov a ľudí, ktorí
dobromyseľne hľadajú a hlásia zraniteľnosti v našich službách. Tento dokument
popisuje, ako bezpečne nahlásiť bezpečnostný problém v aplikácii
Formuláre TUKE.
Kam nahlasovať
E-mail: hasin@mhite.sk
Pre šifrovanú komunikáciu vyžiadajte verejný kľúč v prvej správe.
Čo nahlasovať
- Zraniteľnosti v aplikačnej vrstve (XSS, CSRF, SQLi, IDOR, RCE, deserializácia, …)
- Chyby autentifikácie a autorizácie (obchádzanie SSO, eskalácia oprávnení)
- Únik citlivých údajov (PII žiadateľov, prílohy, audit logy)
- Chyby v procese workflowu, ktoré vedú k neoprávnenému schváleniu/zamietnutiu
- Konfiguračné slabiny webového servera, WAF, alebo TLS
Čo nie je predmetom programu
- Záplavové útoky (DoS/DDoS), brute-force, sociálne inžinierstvo na zamestnancov
- Nahlásenia z automatických skenerov bez ručného overenia
- Best-practice odporúčania bez konkrétneho dopadu (chýbajúce hlavičky, ktoré
nezvyšujú dopad existujúcej zraniteľnosti, atď.)
- Útoky vyžadujúce úplne kompromitované zariadenie obete
Ako reportovať
V správe uveďte:
- Popis zraniteľnosti, krok-za-krokom reprodukciu a očakávaný dopad
- URL, HTTP requesty, payloady (priložte ako text alebo neexecutable prílohu)
- Verziu prehliadača/OS, ak je relevantné
- Či zraniteľnosť bola alebo nebola zverejnená inde
Naše záväzky
- Potvrdíme prijatie hlásenia do 72 hodín od doručenia.
- Vrátime sa s počiatočným posúdením do 10 pracovných dní.
- Budeme reportéra priebežne informovať o stave riešenia.
- Po náprave problému ponúkneme kredit v poďakovaniach (na žiadosť anonymne).
Bezpečné správanie pri testovaní (safe harbor)
Pokiaľ konáte v dobromyseľnej snahe podľa tejto politiky, nebudeme proti vám
podnikať právne kroky ani nebudeme vyžadovať administratívne sankcie. Konkrétne:
- Testujte iba účty, ktoré sú vašou vlastnou identitou.
- Neprezerajte, neukladajte a nezdieľajte osobné údaje iných používateľov nad
rámec nevyhnutný na demonštráciu zraniteľnosti.
- Nepokúšajte sa zámerne degradovať službu (DoS, deštruktívne payloady,
masívne automatické sondovanie).
- Bezpečnostnú chybu nezverejnite verejne pred dohodnutým termínom.
Koordinovaná publikácia
Štandardná lehota na nápravu pred verejným zverejnením je 90 dní od
nášho potvrdenia, alebo skôr, ak je dostupná oprava a obe strany sa zhodnú.
Pri kritickej zraniteľnosti aktívne v zneužívaní môže byť lehota skrátená.
Právny rámec
Táto politika dopĺňa povinnosti prevádzkovateľa podľa zákona o kybernetickej
bezpečnosti (transponujúceho smernicu NIS2). Závažné incidenty sú zároveň
hlásené príslušnému CSIRT/CERT v zákonom stanovenej lehote.
Vulnerability Disclosure Policy
Formuláre TUKE · Last updated: 2026-06-04 ·
Machine-readable contact: security.txt
We appreciate the help of security researchers, ethical hackers and members
of the public who find and report vulnerabilities in good faith. This page
describes how to safely report a security issue in the
Formuláre TUKE application.
Where to report
Email: hasin@mhite.sk
For encrypted communication, request the public key in your first message.
In scope
- Application-layer vulnerabilities (XSS, CSRF, SQLi, IDOR, RCE,
deserialization, …)
- Authentication and authorization flaws (SSO bypass, privilege escalation)
- Leakage of sensitive data (applicant PII, attachments, audit logs)
- Workflow logic flaws leading to unauthorized approve/reject decisions
- Server / WAF / TLS configuration weaknesses
Out of scope
- Flooding attacks (DoS/DDoS), brute-force, social engineering of staff
- Output of automated scanners without manual verification
- Best-practice nits with no concrete impact (missing headers that do not
amplify an existing vulnerability, etc.)
- Attacks requiring a fully compromised victim device
How to report
Please include in your message:
- Description of the vulnerability, step-by-step reproduction and expected
impact
- URL, HTTP requests, payloads (as text or non-executable attachments)
- Browser/OS version where relevant
- Whether the issue has been disclosed elsewhere
Our commitments
- We will acknowledge your report within 72 hours.
- We will return with an initial assessment within 10 business
days.
- We will keep the reporter informed about remediation progress.
- After the fix, we will offer credit in our acknowledgments (anonymous on
request).
Safe harbor
As long as you act in good faith in line with this policy, we will not pursue
legal action or administrative sanctions against you. Specifically:
- Test only accounts that are your own identity.
- Do not view, store or share personal data of other users beyond what is
strictly necessary to demonstrate the vulnerability.
- Do not intentionally degrade the service (DoS, destructive payloads,
massive automated probing).
- Do not publicly disclose the issue before the agreed deadline.
Coordinated disclosure
Our standard remediation window before public disclosure is
90 days from our acknowledgment, or sooner if a fix is
available and both parties agree. For a critical vulnerability under active
exploitation the window may be shortened.
Legal framework
This policy supplements the operator's obligations under the Slovak Cyber
Security Act (transposing the NIS2 directive). Significant incidents are
reported to the competent CSIRT/CERT within the statutory deadline.