Vores forpligtelse
Når du rapporterer en sårbarhed til Auroa i god tro, forpligter vi os til at:
- Bekræfte modtagelsen af din rapport indenfor 72 timer på hverdage.
- Validere fundet og give dig en initial vurdering indenfor 7 hverdage.
- Holde dig informeret om status mindst hver 14. dag indtil sagen er lukket.
- Behandle din identitet og rapport fortroligt.
- Anerkende dit bidrag offentligt med dit samtykke (se “Hall of Thanks” nedenfor).
- Ikke indlede retslige skridt mod dig så længe du følger denne policy (se “Safe harbor” nedenfor).
Scope — hvad er omfattet
Følgende assets er i scope for vores Responsible Disclosure Program:
auroa.dkog alle subdomæner*.auroa.dkauroa.groupog alle subdomæner*.auroa.group- E-mail-infrastruktur drevet af Auroa (mailflows, autentificering, SPF/DKIM/DMARC-opsætning)
- Offentligt tilgængelige API-endpoints driftet af Auroa
- Klient-side kode (JavaScript, formularer) leveret fra Auroa-domæner
Uden for scope
- Tredjepartstjenester der ikke ejes af Auroa (Microsoft 365, Google Workspace, Cloudflare, LinkedIn etc.) — rapportér disse direkte til ejeren.
- Sårbarheder i kunder-miljøer som Auroa rådgiver om, men ikke selv ejer. Disse skal rapporteres til den respektive kunde — kontakt os hvis du har brug for at få formidlet kontakt.
- Social engineering af Auroa’s medarbejdere, kunder eller leverandører.
- Fysiske angreb mod Auroa’s lokaler eller medarbejdere.
- DDoS-angreb, volumetriske eller brute-force-angreb der kan forringe systemets stabilitet.
- Spam, phishing eller malware der ikke er knyttet til et konkret teknisk sårbarhedsfund.
- Generiske automatiserede scanner-rapporter uden verificeret påvirkning.
Hvad du må teste — og hvad du ikke må
Du må undersøge og rapportere typiske sårbarhedsklasser, herunder:
- Misconfiguration (sikkerhedsheaders, CSP, CORS, cookie-flags, DNS, mail-autentificering)
- Adgangskontrolfejl (broken access control, IDOR, privilege escalation)
- Injektionsfejl (SQLi, command injection, template injection)
- Cross-site scripting (XSS) og cross-site request forgery (CSRF)
- Information disclosure (kildekode, credentials, intern stack)
- Forretningslogik-fejl i offentligt eksponerede services
Du må ikke:
- Eksfiltrere, slette eller modificere data — heller ikke for at demonstrere alvor.
- Tilgå data tilhørende andre brugere, kunder eller tredjeparter.
- Køre automatiserede scanners der genererer betydelig trafik.
- Offentliggøre fundet før vi har haft mulighed for at lukke det (se “Coordinated disclosure” nedenfor).
- Forsøge at omgå rate limits, captchas eller anti-bot-foranstaltninger på en måde der kan påvirke andre brugere.
- Anvende fundne sårbarheder mod kunder, partnere eller andre tredjeparter.
Sådan rapporterer du
Send en e-mail til security@auroa.dk med følgende informationer:
- Sårbarhedstype — for eksempel XSS, SQLi, IDOR, broken access control, misconfiguration.
- Berørt URL eller komponent — vær så præcis som muligt.
- Reproduktionsskridt — så vi kan verificere selvstændigt.
- Potentiel påvirkning — hvad kan en angriber opnå?
- Foreslået severity efter CVSS 3.1 eller 4.0, hvis relevant.
- Din kontakt-information — anonyme rapporter accepteres, men det er sværere at sige tak og holde dig opdateret.
- Eventuelle proof-of-concept-filer — vedhæft eller link i kryptered form.
Vi opfordrer kraftigt til at kryptere følsomme rapporter med PGP. Vores nøgle er tilgængelig via https://auroa.dk/.well-known/pgp-key.txt.
Fingerprint: 04EC 921B D02E 6E25 7360 C5CD 6FFF 41A1 89B3 83B3
Forventet response og SLA
Vi sigter mod følgende svartider afhængigt af severity:
- Bekræftelse af modtagelse: indenfor 72 timer på hverdage.
- Initial vurdering og severity-bestemmelse: indenfor 7 hverdage.
- Critical (CVSS 9.0–10.0): mitigering eller patch indenfor 30 dage.
- High (CVSS 7.0–8.9): mitigering eller patch indenfor 60 dage.
- Medium / Low (CVSS < 7.0): mitigering eller patch indenfor 90 dage.
Mere komplekse fund kan tage længere — vi holder dig løbende underrettet og forklarer hvis vi vurderer at en sårbarhed accepteres som risiko fremfor at lukkes.
Coordinated disclosure
Vi følger principperne for coordinated disclosure:
- Hold rapporten fortrolig indtil Auroa har haft mulighed for at addressere den.
- Standard-vinduet er 90 dage fra rapportering til offentliggørelse — kortere ved akut udnyttelse i naturen, længere efter aftale ved særligt komplekse fund.
- Når sårbarheden er lukket og verificeret, må du gerne publicere din research. Vi sætter pris på at blive informeret før publicering, så vi kan koordinere med eventuelt berørte kunder.
Anerkendelse
Auroa har på nuværende tidspunkt ikke et formelt bug bounty-program, men vi sætter stor pris på bidrag fra security-fællesskabet:
- Vi anerkender hver verificeret rapport i vores Hall of Thanks nedenfor — med dit fulde navn, alias eller anonymt efter dit valg.
- Ved særligt værdifulde fund tilbyder vi efter eget skøn en symbolsk tak — typisk Auroa-mærket merchandise eller en mindre godtgørelse via PayPal eller MobilePay.
- Vi udsteder gerne en referenceudtalelse om din research til brug i din portfolio, CV eller LinkedIn.
Safe harbor
Hvis du rapporterer i god tro og holder dig indenfor scope og adfærdsreglerne i denne policy, forpligter Auroa sig til at:
- Ikke indlede civile eller strafferetslige skridt mod dig.
- Ikke kontakte myndigheder vedrørende din research, så længe du har overholdt denne policy.
- Behandle din identitet fortroligt, medmindre andet aftales.
- Acceptere rimelige forsøg på ansvarlig håndtering, selv hvis du utilsigtet overskrider scope eller adfærdsreglerne — så længe du straks stopper og kontakter os.
Denne safe harbor gælder kun research udført på Auroa’s egne assets, jævnfør scope ovenfor. Den dækker ikke research udført mod kunders, partneres eller tredjeparters systemer.
Hall of Thanks
Vi takker følgende researchers for deres bidrag til at gøre Auroa’s systemer mere sikre:
Listen er endnu tom — vil du være den første?
Spørgsmål om denne policy
Har du spørgsmål til omfang, proces eller fortolkning af denne policy, så skriv til security@auroa.dk. Generelle spørgsmål om Auroa eller vores ydelser kan sendes til info@auroa.dk eller via vores kontaktside.
