Chính sách tiết lộ lỗ hổng

Cập nhật lần cuối: 07.03.2026

Giới thiệu

[ MECANIK DEV ] coi trọng bảo mật hệ thống và dịch vụ của mình. Chúng tôi đánh giá cao công việc của các nhà nghiên cứu bảo mật giúp chúng tôi cải thiện tư thế bảo mật.

Chính sách này mô tả cách báo cáo lỗ hổng cho chúng tôi và những gì bạn có thể mong đợi đổi lại.

Phạm vi

Chính sách này áp dụng cho các tên miền và dịch vụ sau:

  • mecanik.dev
  • members.mecanik.dev
  • api.mecanik.dev

Báo cáo lỗ hổng

Nếu bạn tin rằng mình đã tìm thấy lỗ hổng bảo mật trong bất kỳ hệ thống nào của chúng tôi, vui lòng báo cáo cho chúng tôi qua email:

[email protected]

Vui lòng bao gồm những thông tin sau trong báo cáo của bạn:

  • Mô tả về lỗ hổng
  • Các bước để tái hiện vấn đề
  • Tác động tiềm ẩn của lỗ hổng
  • Bất kỳ mã proof-of-concept nào, nếu có

Những gì bạn có thể mong đợi

  • Xác nhận: Chúng tôi sẽ xác nhận việc nhận báo cáo của bạn trong vòng 3 ngày làm việc.
  • Đánh giá: Chúng tôi sẽ điều tra và xác nhận lỗ hổng được báo cáo.
  • Cập nhật: Chúng tôi sẽ thông báo cho bạn về tiến trình của chúng tôi.
  • Giải quyết: Chúng tôi hướng tới việc giải quyết các lỗ hổng nghiêm trọng càng sớm càng tốt.
  • Ghi nhận: Với sự cho phép của bạn, chúng tôi sẽ ghi nhận đóng góp của bạn trên trang Ghi nhận bảo mật của chúng tôi.

Hướng dẫn

Chúng tôi yêu cầu các nhà nghiên cứu bảo mật:

  • Nỗ lực tránh vi phạm quyền riêng tư, phá hủy dữ liệu và gián đoạn dịch vụ.
  • Chỉ tương tác với các tài khoản bạn sở hữu hoặc có sự cho phép rõ ràng của chủ tài khoản.
  • Không khai thác lỗ hổng ngoài những gì cần thiết để chứng minh nó.
  • Báo cáo lỗ hổng kịp thời và cho chúng tôi thời gian hợp lý để giải quyết trước khi tiết lộ công khai.
  • Không tham gia vào kỹ thuật xã hội, lừa đảo hoặc tấn công vật lý nhắm vào nhân viên hoặc cơ sở hạ tầng của chúng tôi.

Cảng an toàn

Chúng tôi coi nghiên cứu bảo mật được thực hiện theo chính sách này là:

  • Được ủy quyền theo luật chống xâm nhập trái phép hiện hành.
  • Được miễn trừ các hạn chế của DMCA về việc phá vỡ kiểm soát công nghệ.

Chúng tôi sẽ không tiến hành hành động pháp lý chống lại các nhà nghiên cứu tuân thủ chính sách này.

Loại trừ

Những điều sau đây không nằm trong phạm vi:

  • Tấn công từ chối dịch vụ
  • Tấn công kỹ thuật xã hội
  • Tấn công vật lý
  • Chiến dịch spam hoặc lừa đảo
  • Lỗ hổng trong phần mềm hoặc dịch vụ của bên thứ ba không thuộc quyền kiểm soát của chúng tôi