Відповідальне розкриття інформації

Знайшли проблему з безпекою?

Ми ставимося до кожного звіту серйозно — платформа для дітей із функцією створення контенту та чергою перевірки вченими привертає значну увагу дослідників, і ми вважаємо за краще почути від вас, ніж дізнатися з Twitter. Ось наша політика.

Як повідомити

Надішліть чіткий опис (що, де, кроки відтворення, вплив) на moderation@azhar-platform.example. Додайте запис екрана або HTTP-трасування, якщо є. Будь ласка, НЕ публікуйте знахідку публічно, доки ми не матимемо можливості її виправити.

Надіслати звіт

Наші зобов'язання

  • Ми підтверджуємо отримання кожного звіту протягом 2 робочих днів.
  • Ми проводимо тріаж і визначаємо рівень серйозності протягом 5 робочих днів.
  • Критичні проблеми ми виправляємо протягом 7 днів; проблеми високого рівня — протягом 30 днів; середнього та низького рівня — у наступному плановому циклі випуску.
  • Після випуску виправлення ми публічно вас згадуємо (у журналі змін та security.txt), якщо ви цього бажаєте — анонімність також прийнятна.

У межах відповідальності

  • Обхід автентифікації / сесій
  • Порушення авторизації — читання або запис даних, до яких не повинно бути доступу (на рівні користувача, сім'ї, адміністратора-вченого)
  • Ін'єкції (SQL, NoSQL, prompt-ін'єкції, що виходять за межі системного промпту)
  • Збережений XSS або HTML-ін'єкція на будь-якій відображуваній поверхні
  • Обхід обмежувача запитів, черги скарг на зловживання або конвеєра перевірки вченими

Поза межами відповідальності

  • Соціальна інженерія або фішинг щодо співробітників
  • Фізичні атаки на інфраструктуру
  • DoS / DDoS-демонстрації проти нашого виробничого середовища (будь ласка, тестуйте локально)
  • Знахідки щодо сторонніх сервісів, від яких ми залежимо (повідомляйте безпосередньо Firebase, Pinecone, Anthropic, OpenAI)

Дякуємо, що дбаєте про безпеку сімей і вчених. Ми невелика команда, і ваші звіти роблять платформу кращою.