Політика безпеки
Останнє оновлення: 2026-05-13
Ми серйозно ставимося до безпеки. Ця політика роз’яснює, як повідомити про вразливість, що ми обіцяємо натомість і що входить до області охоплення. Канонічні метадані для дослідників безпеки також знаходяться за адресою /.well-known/security.txt (RFC 9116).
1. Як повідомити
Напишіть на [email protected] - PGP-ключ за запитом - або відкрийте приватний звіт на https://hackerone.com/elido. Обидва шляхи ведуть до однієї черги чергових. Будь ласка, додайте кроки для відтворення, затронутий URL/ендпоінт та спостережуваний вплив. Не публікуйте деталі відкрито, поки ми не узгодимо виправлення.
2. SLA реагування
Перша відповідь: протягом 24 годин. Тріаж із рейтингом серйозності: протягом 5 робочих днів. Цільовий термін вирішення: 14 днів для High/Critical, 30 днів для Medium/Low. Якщо виправлення потребує більше часу (наприклад, очікування сторонньої залежності), ми будемо оновлювати вас щотижня.
3. В області охоплення
elido.app (маркетинг), app.elido.app (дашборд), api.elido.app (REST + GraphQL), elido.me / f.elido.me / s.elido.me / b.elido.me (рівні перенаправлення), docs.elido.app, додатки Elido для iOS та Android, npm-пакети elidoapp/elido-*, та Elido MCP сервер (packages/mcp-server).
4. Поза областю охоплення
Сторонні сервіси, які ми використовуємо (наш рівень автентифікації та провайдер ідентичності, наш провайдер чату підтримки, Cloudflare, Anthropic, monobank Plata, Coinbase Commerce, WorkOS, Resend) - будь ласка, повідомляйте безпосередньо їм. Брутфорс ендпоінтів з обмеженням швидкості (ми тестуємо їх самі). Соціальна інженерія персоналу Elido. Волюметричні / DoS атаки. Знахідки, що залежать від встановлення жертвою шкідливого ПЗ поза Elido. Відкрите перенаправлення через саме коротке посилання - це і є сервіс.
5. Безпечна гавань
Якщо ви докладаєте добросовісних зусиль для дотримання цієї політики, ми не будемо вживати юридичних заходів і працюватимемо з вами, щоб зрозуміти та вирішити проблему. Зокрема: тестування на власних акаунтах, відсутність ексфільтрації виробничих даних, відсутність впливу на інших клієнтів та відсутність публічного розголошення до випуску виправлення.
6. Винагороди
Elido проводить платну програму bug bounty на HackerOne. Орієнтовні винагороди (USD): Critical $3000, High $1500, Medium $500, Low $200, Trivial $50 еквівалент мерчу. Остаточна сума залежить від впливу, новизни та якості звіту. Ми також перераховуємо неоплачувані валідні розголошення на /legal/security-acknowledgments за вашою згодою.
7. Подяки
Ми публічно відзначаємо дослідників, які допомагають нам, на /legal/security-acknowledgments - нікнейм або справжнє ім'я на ваш вибір, і лише після виправлення проблеми.