负责任的披露

安全 Pikly

Pikly是作为隐私第一盘点应用程序而建的. 如果你认为你找到了弱点,请负责任地报告,这样我们就可以审查、修正和保护用户。

报告脆弱性

如果你认为你在Pikly发现了一个安全问题 在公开分享之前联系我们

应包含的内容

你的报告越清楚,我们就越能证实和解决这个问题。

  • 明确阐述问题和潜在影响.
  • 分步指示再现问题.
  • 受影响的页面,app版本,操作系统,浏览器,设备,或特性.
  • 屏幕截图,屏幕录音,日志,或有用时的概念证明.
  • 引发问题所需的任何条件,如权限,设备设置,或订阅状态等.

请勿

测试必须尊重、有限并避免对Pikly、用户或基础设施造成伤害。

  • ×访问,修改,删除,复制,或者曝光另一个用户的数据.
  • ×进行拒绝服务、压力、垃圾邮件、费率限制或资源耗竭测试。
  • ×使用社会工程,钓鱼,人身攻击,或试图攻击Pikly员工,用户,或提供商.
  • ×安装恶意软件、持续访问、绕行支付系统或中断订阅。
  • ×在我们审查之前公开披露这一问题,并有合理的机会加以解决。

测试范围

关注您被授权使用的 Pikly 拥有的表面和特征 。

通常范围

Pikly公共网站网页,Pikly移动应用功能,条码扫描流程,本地库存功能,CSV导出行为,以及订阅访问逻辑.

通常超出范围

第三方平台如苹果,谷歌,支付供应商,托管供应商,电子邮件供应商,以及需要进行有害或高容量测试的问题.

我们的审查进程

我们的目标是根据严重程度和可复制性仔细和按比例处理报告。

1

Receive

我们审查你的报告,如果需要的话,我们可能会要求提供更多的细节。

2

Validate

我们试图重复这一问题,评估风险,并优先采取补救措施。

3

Fix

我们致力于校正、缓解、改变配置或酌情更新用户信息。

4

Coordinate

我们请你与我们协调任何信息披露 以便首先保护用户

诚信研究

我们珍视遵循这些准则的负责任的安全研究。

如果你诚意行事,避免侵犯隐私,避免服务中断,并给我们一个合理的机会在披露之前解决问题,我们不会故意就研究本身对你提起法律诉讼. 这不准许非法活动、进入第三方系统、敲诈、威胁、数据过滤或损害用户或基础设施的行动。

Pikly目前没有运行付费bug赏金程序. 提交报告不能保证赔偿、信贷或公众承认。

联系

用于安全报告 联系人@pikly.pro对于隐私问题,请审查隐私政策,或通过同一地址与我们联系。

建议的电子邮件主题

Security Report for Pikly