Политика раскрытия уязвимостей — ScamLens
Последнее обновление: 2026-04-16
Область действия
Данная политика распространяется на исследования безопасности, проводимые в отношении следующих активов:
*.scamlens.org- Расширение ScamLens для Chrome (Chrome Web Store ID: OrangeDuck)
- Публичный API ScamLens (
api.scamlens.org)
Сторонние сервисы (Stripe, Google Auth, Cloudflare, Brevo, Resend) находятся вне области действия — сообщайте им напрямую.
Безопасная гавань
Мы не будем преследовать в судебном порядке исследователей, которые:
- Действуют добросовестно и соблюдают данную политику
- Не получают доступ, не изменяют и не извлекают данные сверх необходимого для демонстрации уязвимости
- Не нарушают работу сервисов и не ухудшают пользовательский опыт
- Своевременно сообщают и сохраняют конфиденциальность до устранения
Вне области действия
- Отказ в обслуживании / нагрузочное тестирование против продакшена
- Социальная инженерия в отношении сотрудников или пользователей
- Физические атаки
- Отчёты автоматических сканеров без подтверждённого воздействия
- Self-XSS и clickjacking на страницах без чувствительного состояния
- Отсутствие заголовков best-practice на статических ресурсах (уже отслеживается внутри)
Как сообщать
Отправьте письмо на security@scamlens.org с:
- Заголовок и затронутый актив
- Шаги воспроизведения (чёткие, минимальные)
- Анализ влияния (чего может достичь злоумышленник)
- Предлагаемое устранение (опционально)
Мы подтверждаем получение в течение 48 часов. Цели по устранению: критично — 7 дней, высоко — 14 дней, средне — 30 дней, низко — по возможности.
Признание
Подтверждённые отчёты отмечаются на странице благодарностей по безопасности под предпочитаемым именем (или анонимно по запросу).