Vulnerability Disclosure Policy

Мы принимаем responsible disclosure отчёты об уязвимостях, которые могут затронуть пользователей ArchiPanopticon, аккаунты, billing-flow, публичные страницы или production-инфраструктуру.

Куда сообщать

Используйте контактный маршрут из security.txt или напишите через страницу контактов. Если пишете email, добавьте "Security report" в тему письма.

Что указать

• Понятное описание проблемы и impact.
• Шаги воспроизведения, proof of concept, скриншоты или примеры request/response.
• Затронутый URL, route, состояние аккаунта или browser environment.
• Могли ли быть затронуты пользовательские данные.
• Как с вами связаться для follow-up.

Правила тестирования

Пожалуйста, не делайте следующее:

• не получайте, не изменяйте, не удаляйте и не выгружайте данные, которые вам не принадлежат;
• не ухудшайте доступность сервиса, не запускайте denial-of-service тесты и не спамьте production-системы;
• не используйте social engineering, phishing, физические атаки или атаки на third-party providers;
• не публикуйте детали до того, как у нас была разумная возможность расследовать и исправить проблему.

Scope

В scope: публичные route лендинга, авторизованные account и simulator route, backend API calls продукта, session handling и surfaces платёжного flow.

Вне scope: проблемы third-party providers, rate-limit noise без impact, отсутствующие headers без реалистичного exploit path, self-XSS, clickjacking на нечувствительных страницах и отчёты, предполагающие уже скомпрометированное устройство пользователя.

Ожидания по ответу

Мы стараемся подтвердить получение содержательных отчётов в течение 5 рабочих дней. Срок исправления зависит от severity, exploitability и release risk. Сейчас у нас нет платной bug bounty program.