Divulgación responsable

¿Has encontrado un problema de seguridad?

Tomamos cada informe muy en serio — una plataforma dirigida a niños con creación de contenido y una cola de revisión de estudiosos recibe mucha atención de investigadores, y preferimos que nos lo cuentes tú antes que enterarnos por Twitter. Aquí tienes la política.

Cómo informar

Envía una descripción clara (qué, dónde, pasos para reproducirlo, impacto) a moderation@azhar-platform.example. Incluye una grabación de pantalla o un rastreo HTTP si dispones de ellos. Por favor, NO publiques el hallazgo públicamente hasta que hayamos tenido la oportunidad de corregirlo.

Enviar un informe

Lo que prometemos

Acusamos recibo de cada informe en un plazo de 2 días hábiles.
Clasificamos y asignamos una gravedad en un plazo de 5 días hábiles.
Corregimos los problemas críticos en 7 días; los de gravedad alta en 30 días; los de gravedad media y baja en el siguiente ciclo de publicación habitual.
Te mencionamos públicamente (en nuestro registro de cambios y en security.txt) una vez publicada la corrección, si así lo deseas — el anonimato también es bienvenido.

En alcance

Omisión de autenticación / sesión
Fallos de autorización — lectura o escritura de datos a los que no deberías tener acceso (por usuario, por familia, estudioso-administrador)
Inyección (SQL, NoSQL, inyección de prompts que escape de nuestro prompt de sistema)
XSS almacenado o inyección HTML en cualquier superficie renderizada
Omisión del limitador de velocidad, la cola de informes de abuso o el proceso de revisión de estudiosos

Fuera de alcance

Ingeniería social o phishing dirigido al personal
Ataques físicos contra infraestructuras
Demostraciones de DoS / DDoS contra nuestro entorno de producción (por favor, realiza las pruebas en local)
Hallazgos en servicios de terceros de los que dependemos (notifícalos directamente a Firebase, Pinecone, Anthropic, OpenAI)

Gracias por proteger a las familias y a los estudiosos. Somos un equipo pequeño y tus informes hacen que la plataforma mejore.