Saugumas

Atsakingas pažeidžiamumų atskleidimas

Radote saugumo spragą? Laukiame jūsų pranešimo. Vertiname tyrėjus, kurie dirba atsakingai, ir suteikiame jiems aiškų kelią pranešti apie radinius.

Praneškite el. paštu: [email protected]

Apimtis

Ši politika taikoma šiems resursams:

  • edukamentas.lt ir visi jos subdomenai
  • „Edukamentas" iOS ir Android mobiliosios programėlės

Kaip pranešti

Išsiųskite el. laišką adresu [email protected] ir nurodykite:

  • Trumpą radinio aprašymą ir potencialų poveikį.
  • Atkūrimo žingsnius (steps to reproduce), URL, request / response pavyzdžius.
  • Jei reikia – ekrano nuotraukas, PoC video arba payload pavyzdžius.
  • Savo kontaktinę informaciją, jei norite, kad su jumis susisiektume dėl atsakymo.

Atsakome per 5 darbo dienas. Kritines spragas patvirtiname per 24 val.

Ko prašome nedaryti

  • Neatskleiskite pažeidžiamumo viešai, kol nepasiekėme bendro sutarimo dėl paskelbimo.
  • Nenaudokite kitų vartotojų paskyrų ar asmens duomenų – testavimui naudokite tik savo paskyrą.
  • Nevykdykite DoS, brute force, spam ar socialinės inžinerijos atakų prieš mūsų komandą.
  • Nemodifikuokite, nepašalinkite ir nekopijuokite duomenų, nepriklausančių jums.
  • Neskelbkite pažeidžiamumų per trečiųjų šalių platformas, kol neleidome.

Už apimties ribų

Šie atvejai paprastai nepriimami kaip reportai:

  • Teoriniai pranešimai be realaus poveikio įrodymo.
  • Automatinių scanerių rezultatai be patvirtinto exploit'o.
  • Trūkstami security headers, jei nėra konkrečios eksploatacijos.
  • SPF / DKIM / DMARC konfigūracija be realaus spoofingo įrodymo.
  • Rate limiting spragos be aiškios žalos scenarijaus.
  • Self-XSS, clickjacking be jautrios veiklos.

Mūsų įsipareigojimas

  • Veikdami sąžiningai pagal šias gaires – nesiimsime teisinių veiksmų prieš jus.
  • Patvirtinsime gavimą ir reguliariai informuosime apie statusą.
  • Ištaisysime patvirtintas spragas per protingą laiką, atsižvelgiant į kritiškumą.
  • Padėkosime jums viešai – socialiniuose tinkluose, LinkedIn ar blogo įraše, jei sutiksite.
  • Edukamento komanda dalyvauja OWASP ir kitose kibernetinio saugumo konferencijose – bendruomenė mums svarbi, ir mes darome maksimalią moralinę pastangą.

Atlygis

Esame jauna, augančio masto įmonė, todėl kol kas neturime oficialios bug bounty programos. Vis dėlto už svarbius radinius tikrai stengsimės padėkoti – kiekvienu atveju žiūrime atskirai pagal poveikį ir sudėtingumą. Paprastai tai yra piniginis atlygis, proporcingas mūsų galimybėms. Kritinės spragos – prioritetas.

Kontaktas

Saugumo klausimais rašyti: [email protected]

Paskutinis atnaujinimas: 2026-04-05. MB „Uncascade" / Edukamentas, V. Nagevičiaus g. 3, LT-08237 Vilnius, Lietuva.

Mes naudojame slapukus.
Sužinoti daugiau