Politica de securitate
Ultima actualizare: 2026-05-13
Luăm securitatea în serios. Această politică explică cum să raportați o vulnerabilitate, ce promitem în schimb și ce intră în domeniul de aplicare. Metadatele canonice pentru cercetătorii de securitate se află și la /.well-known/security.txt (RFC 9116).
1. Cum să raportați
Trimiteți un e-mail la [email protected] - cheie PGP la cerere - sau deschideți un raport privat la https://hackerone.com/elido. Ambele căi ajung la aceeași coadă de gardă. Vă rugăm să includeți pașii de reproducere, URL-ul/endpoint-ul afectat și impactul observat. Nu publicați detalii public până când nu am coordonat o remediere.
2. SLA de răspuns
Primul răspuns: în 24 de ore. Triaj cu evaluare a severității: în 5 zile lucrătoare. Țintă de rezolvare: 14 zile pentru High/Critical, 30 de zile pentru Medium/Low. Dacă o remediere necesită mai mult timp (de exemplu, așteptarea unei dependențe terțe), vă vom ține la curent săptămânal.
3. Domeniu de aplicare
elido.app (marketing), app.elido.app (dashboard), api.elido.app (REST + GraphQL), elido.me / f.elido.me / s.elido.me / b.elido.me (niveluri de redirecționare), docs.elido.app, aplicațiile Elido pentru iOS și Android, pachetele npm elidoapp/elido-*, și serverul Elido MCP (packages/mcp-server).
4. În afara domeniului de aplicare
Servicii terțe pe care le folosim (furnizorul nostru de autentificare și identitate, furnizorul nostru de chat de suport, Cloudflare, Anthropic, monobank Plata, Coinbase Commerce, WorkOS, Resend) - vă rugăm să raportați direct acestora. Forțarea brută a endpoint-urilor cu rată limitată (le testăm noi înșine). Ingineria socială asupra personalului Elido. Atacuri volumetrice / DoS. Constatări care depind de instalarea de către victimă a unui software malițios în afara Elido. Redirecționare deschisă prin însuși link-ul scurt - acesta este serviciul.
5. Zonă sigură (Safe harbour)
Dacă depuneți un efort de bună-credință pentru a respecta această politică, nu vom întreprinde acțiuni legale și vom colabora cu dumneavoastră pentru a înțelege și rezolva problema. Mai exact: testarea pe conturi pe care le dețineți, fără exfiltrarea datelor de producție, fără a afecta alți clienți și fără divulgare publică înainte să livrăm o remediere.
6. Recompense
Elido rulează un program plătit de bug bounty pe HackerOne. Recompense orientative (USD): Critical 3000 $, High 1500 $, Medium 500 $, Low 200 $, Trivial 50 $ echivalent în produse promoționale. Suma finală depinde de impact, noutate și calitatea raportului. De asemenea, listăm divulgările valide neplătite pe /legal/security-acknowledgments cu acordul dumneavoastră.
7. Mulțumiri
Creditam public cercetătorii care ne ajută la /legal/security-acknowledgments - alias sau nume real, la alegerea dumneavoastră, și doar după ce problema este rezolvată.