Bezpieczeństwo

Odpowiedzialne ujawnianie podatności

Znalazłeś lukę bezpieczeństwa? Chcemy o niej wiedzieć. Cenimy badaczy, którzy pracują odpowiedzialnie, i zapewniamy im jasną ścieżkę zgłaszania znalezisk.

Zgłoś e-mailem: [email protected]

Zakres

Niniejsza polityka obejmuje:

  • edukamentas.lt i wszystkie jego subdomeny
  • Aplikacje mobilne „Edukamentas" na iOS i Android

Jak zgłosić

Wyślij e-mail na adres [email protected] i podaj:

  • Krótki opis znaleziska oraz potencjalny wpływ.
  • Kroki odtworzenia (steps to reproduce), URL, przykłady request / response.
  • W razie potrzeby – zrzuty ekranu, film PoC lub przykłady payloadów.
  • Twoje dane kontaktowe, jeśli chcesz otrzymać od nas odpowiedź.

Odpowiadamy w ciągu 5 dni roboczych. Krytyczne luki potwierdzamy w ciągu 24 godzin.

Prosimy nie

  • Nie ujawniaj podatności publicznie, dopóki nie uzgodnimy wspólnej publikacji.
  • Nie używaj cudzych kont ani danych osobowych – testuj wyłącznie na własnym koncie.
  • Nie przeprowadzaj ataków DoS, brute force, spamu ani socjotechniki wobec naszego zespołu.
  • Nie modyfikuj, nie usuwaj i nie kopiuj danych, które do Ciebie nie należą.
  • Nie publikuj podatności na platformach zewnętrznych bez naszej zgody.

Poza zakresem

Następujące przypadki zazwyczaj nie są przyjmowane jako zgłoszenia:

  • Zgłoszenia teoretyczne bez udowodnionego wpływu.
  • Wyniki skanerów automatycznych bez potwierdzonego exploita.
  • Brakujące nagłówki bezpieczeństwa bez konkretnej ścieżki eksploatacji.
  • Konfiguracja SPF / DKIM / DMARC bez dowodu rzeczywistego spoofingu.
  • Luki rate limiting bez jasnego scenariusza szkody.
  • Self-XSS, clickjacking bez wrażliwego działania.

Nasze zobowiązanie

  • Jeśli działasz w dobrej wierze zgodnie z tymi zasadami – nie podejmiemy kroków prawnych.
  • Potwierdzimy otrzymanie i będziemy regularnie informować o statusie.
  • Naprawimy potwierdzone luki w rozsądnym czasie, zależnie od krytyczności.
  • Podziękujemy Ci publicznie – w social media, na LinkedIn lub w poście na blogu, za Twoją zgodą.
  • Zespół Edukamentas bierze udział w OWASP i innych konferencjach bezpieczeństwa – społeczność jest dla nas ważna, a my dokładamy wszelkich starań moralnych.

Nagroda

Jesteśmy młodą, rozwijającą się firmą i nie mamy jeszcze formalnego programu bug bounty. Mimo to za ważne znaleziska postaramy się jak najlepiej podziękować – indywidualnie, zależnie od wpływu i złożoności. Zwykle jest to nagroda pieniężna proporcjonalna do naszych możliwości. Krytyczne luki mają priorytet.

Kontakt

W sprawach bezpieczeństwa: [email protected]

Ostatnia aktualizacja: 2026-04-05. MB „Uncascade" / Edukamentas, V. Nagevičiaus g. 3, LT-08237 Wilno, Litwa.

Używamy plików cookie.
Dowiedz się więcej