Мы ценим исследователей безопасности
Если вы обнаружили уязвимость в Tiker, пожалуйста, сообщите нам до публичного раскрытия. Мы обязуемся оперативно реагировать и не предпринимать юридических действий против добросовестных исследователей.
Как сообщить
Отправьте письмо на: security@tiker.app
Включите в сообщение:
- Описание уязвимости и потенциальное влияние
- Шаги для воспроизведения
- Скриншоты или PoC (при наличии)
- Ваши контактные данные для обратной связи
Что входит в scope
- tiker.app и api.tiker.app
- Аутентификация и управление сессиями
- Авторизация и доступ к данным
- XSS, SQLi, SSRF и прочие OWASP Top 10
Что вне scope
- DoS/DDoS-атаки
- Социальная инженерия
- Физический доступ к серверам
- Уязвимости в сторонних библиотеках без доказательства эксплуатации
Наши обязательства
- Подтверждение получения в течение 2 рабочих дней
- Оценка и план устранения в течение 7 дней
- Уведомление об исправлении
- Упоминание в Hall of Thanks (при желании)
Примечание: Иронично — Tiker сам сканирует сайты на наличие секретных ключей и уязвимостей. Мы серьёзно относимся к безопасности и приветствуем любую помощь в её улучшении.