Divulgazione responsabile
Hai trovato un problema di sicurezza?
Prendiamo sul serio ogni segnalazione — una piattaforma rivolta ai bambini con creazione di contenuti e una coda di revisione degli studiosi attira molta attenzione da parte dei ricercatori, e preferiamo sapere da te piuttosto che da Twitter. Ecco la nostra politica.
Come segnalare
Invia una descrizione chiara (cosa, dove, passi per riprodurre il problema, impatto) a moderation@azhar-platform.example. Allega una registrazione dello schermo o una traccia HTTP se disponibile. Ti preghiamo di NON rendere pubblica la scoperta finché non abbiamo avuto la possibilità di correggerla.
Invia una segnalazioneI nostri impegni
- Confermiamo la ricezione di ogni segnalazione entro 2 giorni lavorativi.
- Valutiamo e assegniamo un livello di gravità entro 5 giorni lavorativi.
- Correggiamo i problemi critici entro 7 giorni; quelli gravi entro 30 giorni; quelli medi e minori nel successivo ciclo di rilascio ordinario.
- Ti accreditiamo pubblicamente (nel nostro changelog e nel security.txt) una volta rilasciata la correzione, se lo desideri — anche l'anonimato va benissimo.
Nel perimetro
- Bypass di autenticazione / sessione
- Falle di autorizzazione — lettura o scrittura di dati non consentiti (per utente, per famiglia, studioso-amministratore)
- Injection (SQL, NoSQL, prompt injection che sfugge al nostro prompt di sistema)
- XSS memorizzato o HTML injection su qualsiasi superficie renderizzata
- Bypass del limitatore di frequenza, della coda di segnalazione abusi o della pipeline di revisione degli studiosi
Fuori perimetro
- Ingegneria sociale o phishing ai danni del personale
- Attacchi fisici alle infrastrutture
- Dimostrazioni DoS / DDoS contro il nostro ambiente di produzione (si prega di testare in locale)
- Segnalazioni relative a servizi di terze parti da cui dipendiamo (segnalare direttamente a Firebase, Pinecone, Anthropic, OpenAI)
Grazie per proteggere famiglie e studiosi. Siamo un piccolo team e le vostre segnalazioni rendono la piattaforma migliore.