سياسة الإفصاح عن الثغرات — ScamLens
آخر تحديث: 2026-04-16
النطاق
تغطي هذه السياسة الأبحاث الأمنية التي تُجرى ضد الأصول التالية:
*.scamlens.org- إضافة ScamLens لمتصفح Chrome (معرّف Chrome Web Store: OrangeDuck)
- واجهة برمجة التطبيقات العامة لـ ScamLens (
api.scamlens.org)
خدمات الطرف الثالث (Stripe و Google Auth و Cloudflare و Brevo و Resend) خارج النطاق — يُرجى الإبلاغ عنها مباشرةً لتلك الجهات.
الملاذ الآمن
لن نلجأ إلى أي إجراء قانوني ضد الباحثين الذين:
- يتصرفون بحسن نية ويلتزمون بهذه السياسة
- لا يصلون إلى البيانات أو يعدّلونها أو يستخرجونها بما يتجاوز ما يلزم لإثبات الثغرة
- لا يعطلون الخدمات أو يضرون بتجربة المستخدم
- يُبلغون فوراً ويحفظون السرية إلى حين الإصلاح
خارج النطاق
- حجب الخدمة / اختبارات الحمل ضد الإنتاج
- الهندسة الاجتماعية للموظفين أو المستخدمين
- الهجمات المادية
- تقارير الماسحات الآلية دون تأثير مؤكد
- Self-XSS و clickjacking على صفحات بلا حالة حساسة
- غياب رؤوس أفضل الممارسات على الأصول الثابتة (يتم تتبعها داخلياً بالفعل)
كيفية الإبلاغ
أرسل بريداً إلكترونياً إلى security@scamlens.org متضمناً:
- العنوان والأصل المتأثر
- خطوات إعادة الإنتاج (واضحة وموجزة)
- تحليل التأثير (ما الذي يمكن للمهاجم تحقيقه)
- الإصلاح المقترح (اختياري)
نُؤكد الاستلام خلال 48 ساعة. أهداف الإصلاح: حرج 7 أيام، عالٍ 14 يوماً، متوسط 30 يوماً، منخفض حسب الإمكان.
التقدير
يتم تقدير التقارير المُتحقق منها على صفحة الشكر الأمني بالاسم المفضّل لديك (أو بشكل مجهول عند الطلب).