Verantwortungsvolle Offenlegung

Sicherheitsproblem entdeckt?

Wir nehmen jeden Hinweis ernst – eine Plattform für Kinder mit Inhaltserstellung und einer Gelehrten-Prüfwarteschlange zieht viel Aufmerksamkeit von Sicherheitsforschern auf sich, und wir hören lieber von Ihnen als über Twitter davon. Hier ist unsere Richtlinie.

So erstatten Sie Meldung

Senden Sie eine klare Beschreibung (Was, Wo, Reproduktionsschritte, Auswirkung) an moderation@azhar-platform.example. Fügen Sie nach Möglichkeit eine Bildschirmaufnahme oder einen HTTP-Trace bei. Bitte veröffentlichen Sie den Fund NICHT öffentlich, bevor wir Gelegenheit hatten, ihn zu beheben.

Bericht senden

Unser Versprechen

  • Wir bestätigen jeden Bericht innerhalb von 2 Werktagen.
  • Wir prüfen und stufen den Schweregrad innerhalb von 5 Werktagen ein.
  • Kritische Probleme beheben wir innerhalb von 7 Tagen; schwerwiegende innerhalb von 30 Tagen; mittlere und geringfügige im nächsten regulären Release-Zyklus.
  • Sobald die Lösung veröffentlicht ist, nennen wir Sie öffentlich (in unserem Changelog und in der security.txt), wenn Sie möchten — anonym ist selbstverständlich auch in Ordnung.

Im Geltungsbereich

  • Umgehung von Authentifizierung / Sitzungen
  • Autorisierungslücken — Lesen oder Schreiben von Daten, auf die kein Zugriff bestehen sollte (pro Nutzer, pro Familie, Gelehrter-Administrator)
  • Injection (SQL, NoSQL, Prompt-Injection, die unseren System-Prompt umgeht)
  • Gespeichertes XSS oder HTML-Injection auf einer beliebigen gerenderten Oberfläche
  • Umgehung des Rate-Limiters, der Meldewarteschlange für Missbrauch oder der Gelehrten-Prüfpipeline

Außerhalb des Geltungsbereichs

  • Social Engineering oder Phishing gegenüber Mitarbeitern
  • Physische Angriffe auf die Infrastruktur
  • DoS-/DDoS-Demonstrationen gegen unsere Produktionsumgebung (bitte lokal testen)
  • Befunde zu Drittanbieterdiensten, von denen wir abhängig sind (bitte direkt an Firebase, Pinecone, Anthropic, OpenAI melden)

Vielen Dank, dass Sie Familien und Gelehrte schützen. Wir sind ein kleines Team, und Ihre Meldungen machen die Plattform besser.