Politica de dezvăluire responsabilă

Cum raportezi

Trimite un email la security@debuget.ro sau, ca alternativă, la contact@debuget.ro, cu subiectul „Security report”. Include o descriere cât mai clară, pașii de reproducere, impactul estimat și, dacă e cazul, screenshot-uri sau logs relevante.

Termene de răspuns

• Confirmare primire raport: 72 ore lucrătoare.
• Triaj inițial și evaluare impact: 5 zile lucrătoare de la confirmare.
• Plan de remediere comunicat raportorului: 14 zile lucrătoare pentru severitate critică sau ridicată.

Scope (în domeniul acoperit)

• Site-ul public debuget.ro și subdomeniile sale.
• API-ul public disponibil la debuget.ro/api.
• Endpoint-urile de administrare (/admin/*) pentru vulnerabilități de autentificare/autorizare.

În afara scope-ului

• Atacuri DDoS, brute force sau alte probe-uri care generează load sensibil pe serviciile publice.
• Rapoarte generate automat din scannere fără validare manuală a impactului real.
• Probleme ale site-urilor magazinelor partenere sau ale rețelelor de afiliere — raportează direct către acestea.
• Probleme de configurare specifice browserului raportorului care nu afectează alți utilizatori.

Principii pentru raportori

• Nu accesa, modifica sau exfiltra date ale altor utilizatori. Validează cu un cont test creat de tine.
• Nu publica detalii despre vulnerabilitate înainte să aprobăm public dezvăluirea, pentru a proteja utilizatorii.
• Raportează o singură vulnerabilitate per email; dacă sunt mai multe legate, le vom trata împreună.

Recunoaștere

Nu avem momentan un program formal de bug bounty (recompensă bănească), dar apreciem raportorii responsabili. La cererea ta, te putem menționa public într-o listă de mulțumiri după ce vulnerabilitatea a fost remediată și confirmată rezolvată.