취약점 공개 정책 — ScamLens

적용 범위

본 정책은 다음 자산에 대한 보안 연구에 적용됩니다:

• *.scamlens.org
• ScamLens Chrome 확장 프로그램 (Chrome Web Store ID: OrangeDuck)
• ScamLens 공개 API (api.scamlens.org)

서드파티 서비스 (Stripe, Google Auth, Cloudflare, Brevo, Resend) 는 적용 범위가 아닙니다 — 해당 공급업체에 직접 신고해 주세요.

세이프 하버

다음을 따르는 연구자에 대해서는 법적 조치를 취하지 않습니다:

• 선의로 행동하며 본 정책을 준수
• 취약점을 입증하는 데 필요한 범위를 넘어 데이터에 접근, 수정, 유출하지 않음
• 서비스를 방해하거나 사용자 경험을 저하시키지 않음
• 신속히 보고하고 수정 완료 시까지 기밀을 유지

적용 범위 외

• 운영 환경에 대한 서비스 거부 / 부하 테스트
• 직원 또는 사용자에 대한 사회공학적 공격
• 물리적 공격
• 영향이 확인되지 않은 자동화 스캐너의 보고
• 민감한 상태가 없는 페이지에서의 Self-XSS 및 클릭재킹
• 정적 자산의 베스트 프랙티스 헤더 누락 (이미 내부적으로 추적 중)

신고 방법

다음 내용을 포함하여 security@scamlens.org 로 이메일을 보내 주세요:

1. 제목과 영향받는 자산
2. 재현 단계 (명확하고 최소한)
3. 영향 분석 (공격자가 무엇을 달성할 수 있는지)
4. 권장 수정 방안 (선택 사항)

48 시간 이내에 수신을 확인합니다. 수정 목표: 심각 7 일, 높음 14 일, 중간 30 일, 낮음 최선의 노력.

감사 표시

검증된 보고는 보안 감사 페이지에 원하시는 이름 (또는 요청 시 익명) 으로 표기됩니다.