Политика безопасности
Последнее обновление: 2026-05-13
Мы серьезно относимся к безопасности. В этой политике объясняется, как сообщить об уязвимости, каковы наши обязательства и что входит в область тестирования. Канонические метаданные для исследователей безопасности также доступны по адресу /.well-known/security.txt (RFC 9116).
1. Как отправить отчет
Напишите на [email protected] - PGP-ключ по запросу - или откройте приватный отчет на https://hackerone.com/elido. Оба пути ведут в одну и ту же очередь дежурных специалистов. Пожалуйста, укажите шаги для воспроизведения, затронутый URL/эндпоинт и наблюдаемое влияние. Не публикуйте подробности публично до согласования исправления.
2. SLA на ответ
Первичный ответ: в течение 24 часов. Триаж с присвоением рейтинга критичности: в течение 5 рабочих дней. Целевое время устранения: 14 дней для High/Critical, 30 дней для Medium/Low. Если исправление требует больше времени (например, из-за ожидания сторонней зависимости), мы будем еженедельно сообщать вам новости.
3. В области тестирования
elido.app (маркетинг), app.elido.app (панель управления), api.elido.app (REST + GraphQL), elido.me / f.elido.me / s.elido.me / b.elido.me (уровни редиректа), docs.elido.app, приложения Elido для iOS и Android, npm-пакеты elidoapp/elido-* и сервер Elido MCP (packages/mcp-server).
4. Вне области тестирования
Сторонние сервисы, которые мы используем (наш уровень аутентификации и провайдер идентификации, наш провайдер чата поддержки, Cloudflare, Anthropic, monobank Plata, Coinbase Commerce, WorkOS, Resend) - пожалуйста, сообщайте об уязвимостях в них напрямую. Брутфорс эндпоинтов с лимитами (мы тестируем их сами). Социальная инженерия сотрудников Elido. Волюметрические / DoS-атаки. Уязвимости, зависящие от установки жертвой вредоносного ПО вне Elido. Открытый редирект через саму короткую ссылку - это и есть суть сервиса.
5. «Безопасная гавань»
Если вы добросовестно стараетесь соблюдать эту политику, мы не будем предпринимать юридических действий и будем сотрудничать с вами для понимания и решения проблемы. В частности: тестирование только на собственных аккаунтах, отказ от эксфильтрации рабочих данных, отсутствие влияния на других пользователей и отсутствие публичного разглашения до выпуска исправления.
6. Вознаграждения
Elido проводит платную программу bug bounty на HackerOne. Ориентировочные суммы вознаграждений (USD): Critical $3000, High $1500, Medium $500, Low $200, Trivial - эквивалент мерча на $50. Итоговая сумма зависит от влияния, новизны и качества отчета. Мы также вносим подтвержденные неоплачиваемые разглашения в список на /legal/security-acknowledgments с вашего согласия.
7. Благодарности
Мы публично упоминаем исследователей, которые помогают нам, на странице /legal/security-acknowledgments - никнейм или настоящее имя по вашему выбору и только после устранения проблемы.