Безпека

    Розкриття вразливостей

    Ми вітаємо відповідальні звіти, що допомагають захищати Lumenbase та наших клієнтів.

    Повідомити про вразливість

    Надсилайте звіти про безпеку на адресу security@lumenbase.io. Вкажіть короткий опис, кроки відтворення, задіяні URL-адреси або облікові записи, а також знімки екрана чи журнали, що допоможуть нам перевірити проблему.

    У межах scope

    • Проблеми з автентифікацією, сесіями, авторизацією або ізоляцією клієнтів.
    • Доступ до даних клієнтів іншого робочого простору.
    • Збережений або відображений міжсайтовий скриптинг.
    • Server-side request forgery, віддалене виконання коду або підвищення привілеїв.
    • Витік облікових даних, токенів, вебхуків або API-ключів, що стосується систем Lumenbase.

    Поза межами scope

    • Соціальна інженерія, фішинг або фізичні атаки.
    • Атаки на відмову в обслуговуванні або навантажувальне тестування без письмового дозволу.
    • Деструктивне тестування, ексфільтрація даних понад підтвердження доступу або спроби закріплення.
    • Результати автоматичного сканера без підтвердженої вразливості.
    • Проблеми в сторонніх сервісах, якщо вони не розкривають безпосередньо дані клієнтів Lumenbase.

    Безпечна гавань

    Якщо ви дієте добросовісно, уникаєте порушень конфіденційності та перебоїв у роботі сервісу та оперативно повідомляєте про знахідки, ми не вдаватимемося до правових заходів щодо досліджень безпеки, які відповідають цій політиці. Припиніть тестування та негайно повідомте нас, якщо ви натрапите на дані клієнтів або конфіденційні секрети.

    Очікувані терміни відповіді

    • Ми прагнемо підтвердити достовірні звіти протягом двох робочих днів.
    • Ми визначаємо пріоритети проблем за впливом на клієнтів, можливістю експлуатації та ризиком розкриття даних.
    • Ми інформуватимемо авторів звітів, коли підтверджена проблема потребує більш тривалого вікна усунення.