安全
我们非常重视LumenLingo和您数据的安全。如果您发现了漏洞,我们希望听到您的反馈。
本文档提供多种语言版本。如翻译版本之间存在任何冲突或不一致,以英文版本为准。 查看英文版本
报告漏洞
如果您认为在LumenLingo中发现了安全漏洞,请发送电子邮件至进行负责任报告。
请尽可能提供详细信息:漏洞描述、复现步骤、潜在影响以及任何概念验证代码或截图。
我们还根据RFC 9116发布了机器可读的security.txt文件。
范围
范围内
- LumenLingo网站(lumenlingo.com)及所有子域名
- lumenlingo.com/api/*下的API端点
- LumenLingo iOS应用程序
- 身份验证和授权缺陷
- 跨站脚本(XSS)、注入和CSRF漏洞
- 服务器端请求伪造(SSRF)
- 敏感数据泄露
范围外
- 针对Lumenshore员工的社会工程(网络钓鱼、电话诈骗)
- 拒绝服务攻击(DoS/DDoS)
- 对Lumenshore办公室或基础设施的物理攻击
- 第三方服务(Apple、Vercel、Sentry)中的漏洞 — 请向相应供应商报告
- 未经事先批准的自动扫描
- 垃圾邮件、SEO操纵或不影响安全的内容注入
我们的响应
我们承诺以下响应时间线:
- 确认 — 收到报告后48小时内
- 初步评估 — 5个工作日内
- 解决目标 — 关键问頰3天内,非关键问颐90天内
- 通知 — 问题解决后我们会通知您
我们会随时通报进展,并可能请求额外信息以帮助复现或解决问题。
安全港
我们不会对符合以下条件的安全研究人员采取法律行动:
- 善意行事并遵循本披露政策
- 避免访问或修改其他用户的数据
- 不降低服务质量(不进行DoS或破坏性测试)
- 及时报告漏洞,在我们有合理机会处理之前不公开披露
如果您遵循这些准则,我们认为您的研究是经授权的,不会对您的发现采取民事或刑事行动。
联系我们
安全报告:
一般支持:
首选语言:英语