Безпека

Ми дуже серйозно ставимося до безпеки LumenLingo та ваших даних. Якщо ви виявили вразливість, ми хочемо про це дізнатися.

Цей документ доступний кількома мовами. У разі будь-якого конфлікту чи невідповідності між перекладеними версіями, англійська версія має переважну силу. Переглянути англійську версію

Повідомлення про вразливість

Якщо ви вважаєте, що знайшли вразливість у LumenLingo, будь ласка, повідомте про неї відповідально на .

Будь ласка, надайте якомога більше деталей: опис вразливості, кроки для відтворення, потенційний вплив, а також будь-який код підтвердження концепції або знімки екрану.

Ми також публікуємо машиночитаний файл security.txt відповідно до RFC 9116.

Обсяг

У межах обсягу

  • Веб-сайт LumenLingo (lumenlingo.com) та всі піддомени
  • Кінцеві точки API під lumenlingo.com/api/*
  • Застосунок LumenLingo для iOS
  • Недоліки автентифікації та авторизації
  • Вразливості міжсайтового скриптингу (XSS), ін'єкції та CSRF
  • Підробка запитів на стороні сервера (SSRF)
  • Витік конфіденційних даних

Поза обсягом

  • Соціальна інженерія (фішинг, вішинг) проти працівників Lumenshore
  • Атаки типу відмова в обслуговуванні (DoS/DDoS)
  • Фізичні атаки на офіси або інфраструктуру Lumenshore
  • Вразливості в сервісах третіх сторін (Apple, Vercel, Sentry) — повідомте відповідному постачальнику
  • Автоматичне сканування без попереднього дозволу
  • Спам, маніпуляція SEO або впровадження контенту, що не впливає на безпеку

Наша відповідь

Ми зобов'язуємося дотримуватися наступних строків відповіді:

  • Підтвердження — протягом 48 годин після вашого звіту
  • Початкова оцінка — протягом 5 робочих днів
  • Ціль вирішення — протягом 30 днів для критичних проблем, 90 днів для некритичних
  • Сповіщення — ми повідомимо вас, коли проблему буде вирішено

Ми триматимемо вас у курсі нашого прогресу та можемо попросити додаткову інформацію для допомоги у відтворенні або вирішенні проблеми.

Безпечна гавань

Ми не переслідуватимемо дослідників безпеки, які:

  • Діють добросовісно та дотримуються цієї політики розкриття
  • Уникають доступу до даних інших користувачів або їх зміни
  • Не погіршують роботу сервісу (без DoS, без руйнівного тестування)
  • Повідомляють про вразливості вчасно та не розкривають їх публічно, поки ми не матимемо розумної можливості їх усунути

Якщо ви дотримуєтеся цих правил, ми вважаємо ваше дослідження авторизованим і не вживатимемо цивільних чи кримінальних заходів щодо ваших виявлень.

Контакти

Для звітів про безпеку:

Для загальної підтримки:

Переважна мова: англійська