Bezpieczenstwo

Bardzo powaznie traktujemy bezpieczenstwo LumenLingo i Twoich danych. Jesli odkryjesz luke, chcemy o tym wiedziec.

Ten dokument jest dostępny w wielu językach. W przypadku konfliktu lub rozbieżności między wersjami tłumaczonymi, wersja angielska jest wiążąca. Zobacz wersję angielską

Zglaszanie luki

Jesli uwazasz, ze znalazles luke bezpieczenstwa w LumenLingo, zglos ja odpowiedzialnie wysylajac e-mail na adres .

Prosimy o podanie jak najwiecej szczegolow: opis luki, kroki do odtworzenia, potencjalny wplyw oraz ewentualny kod proof-of-concept lub zrzuty ekranu.

Publikujemy rowniez plik security.txt zgodny z RFC 9116.

Zakres

W zakresie

  • Strona internetowa LumenLingo (lumenlingo.com) i wszystkie subdomeny
  • Endpointy API pod lumenlingo.com/api/*
  • Aplikacja iOS LumenLingo
  • Bledy uwierzytelniania i autoryzacji
  • Luki cross-site scripting (XSS), injection i CSRF
  • Server-side request forgery (SSRF)
  • Ujawnienie danych wrazliwych

Poza zakresem

  • Inzynieria spoleczna (phishing, vishing) wobec pracownikow Lumenshore
  • Ataki typu odmowa uslugi (DoS/DDoS)
  • Ataki fizyczne na biura lub infrastrukture Lumenshore
  • Luki w uslugach firm trzecich (Apple, Vercel, Sentry) — zglos je odpowiedniemu dostawcy
  • Automatyczne skanowanie bez uprzedniej zgody
  • Spam, manipulacja SEO lub wstrzykiwanie tresci niezwiazane z bezpieczenstwem

Nasza odpowiedz

Zobowiazujemy sie do nastepujacego czasu odpowiedzi:

  • Potwierdzenie — w ciagu 48 godzin od Twojego zgloszenia
  • Wstepna ocena — w ciagu 5 dni roboczych
  • Cel rozwiazania — w ciagu 30 dni dla problemow krytycznych, 90 dni dla niekrytycznych
  • Powiadomienie — poinformujemy Cie, gdy problem zostanie rozwiazany

Bedziemy informowac o postepach i mozemy poprosic o dodatkowe informacje pomocne w odtworzeniu lub rozwiazaniu problemu.

Bezpieczna przystan

Nie podejmiemy dzialan prawnych przeciwko badaczom bezpieczenstwa, ktorzy:

  • Dzialaja w dobrej wierze i przestrzegaja tej polityki ujawniania
  • Unikaja dostepu do danych innych uzytkownikow lub ich modyfikacji
  • Nie degraduja uslugi (bez DoS, bez testow destrukcyjnych)
  • Zglaszaja luki niezwlocznie i nie ujawniaja ich publicznie, dopoki nie bedziemy mieli rozsadnej mozliwosci ich naprawienia

Jesli przestrzegasz tych wytycznych, uznajemy Twoje badania za autoryzowane i nie podejmiemy dzialan cywilnych ani karnych zwiazanych z Twoimi odkryciami.

Kontakt

Zgloszenia bezpieczenstwa:

Ogolne wsparcie:

Preferowany jezyk: angielski