Канал сообщения
Используйте контакт ниже и приложите понятные шаги воспроизведения, чтобы мы могли быстро проверить сообщение.
Ответственное раскрытие
Политика ответственного раскрытия уязвимостей
Как сообщить о проблеме безопасности, затрагивающей публичный сайт SpeakUp, что входит в охват и какого поведения мы ожидаем от исследователей.
Последнее обновление: 30 марта 2026
Охват
Политика относится к публичному сайту и связанным открытым сценариям, а не ко всем системам каждого стороннего провайдера.
Ожидания к исследованию
Тестируйте добросовестно, избегайте разрушительного поведения и не получайте доступ к чужим данным.
Это не программа вознаграждений
Эта страница описывает порядок раскрытия уязвимостей и не является обещанием денежного вознаграждения.
Портал доверия SpeakUp
Конфиденциальность, безопасность и материалы для проверки в одном месте
Здесь собраны основные документы SpeakUp по конфиденциальности, безопасности, сторонним обработчикам и договорной обработке данных.
Основные документы
Материалы для проверки
Если вы считаете, что обнаружили проблему безопасности, затрагивающую публичный сайт SpeakUp или тесно связанный открытый сценарий, мы будем признательны за ответственное сообщение.
На этой странице указано, как лучше сообщить о проблеме, какая информация поможет нам быстрее проверить сообщение и какого поведения мы ожидаем при исследовании безопасности.
01
Что включить в сообщение
- Затронутый URL, страницу или пользовательский сценарий.
- Понятное описание проблемы и объяснение, почему она важна.
- Шаги воспроизведения, скриншоты или минимальный пример, если он есть.
- Предварительные условия, данные о браузере или предположения по окружению, нужные для воспроизведения.
- Отдельную пометку, если вы считаете, что проблема затрагивает персональные данные или целостность аккаунтов.
02
Что обычно входит в охват
- Публично доступные страницы и ассеты сайта SpeakUp.
- Сценарии работы файлов cookie, consent-механики, контактной формы, аналитики, локализации и встроенного контента, которые относятся к публичному сайту.
- Ошибки конфигурации, ведущие к раскрытию чувствительной информации, ослаблению границ доступа или непреднамеренному раскрытию данных.
03
Что обычно вне охвата
- Социальная инженерия, фишинг и физические атаки.
- Спам, DDoS, стресс-тестирование и иные действия, создающие нагрузку или нарушающие доступность.
- Проблемы, для проверки которых нужен доступ к стороннему аккаунту, который вам не принадлежит.
- Сообщения, основанные только на результатах сканера без демонстрации реального пути эксплуатации.
- Уязвимости сторонних сервисов, если для них не показан конкретный путь эксплуатации именно через реализацию SpeakUp.
04
Каких действий мы ожидаем
- Действуйте добросовестно и избегайте нарушения конфиденциальности, уничтожения данных и деградации сервиса.
- Не пытайтесь намеренно получать, выгружать, изменять или хранить данные, которые вам не принадлежат.
- После подтверждения существенной проблемы остановите тестирование и свяжитесь с нами.
- Не публикуйте проблему публично, пока у нас не будет разумного времени на расследование и исправление.
05
Подход к добросовестным сообщениям
- Мы стремимся рассматривать добросовестные сообщения и координировать исправление проблемы.
- Исследование, проводимое в рамках этой политики, для нас значительно полезнее, чем скрытое использование уязвимости или преждевременное публичное раскрытие.
- Эта политика не разрешает незаконные действия, разрушительное тестирование или доступ к данным сверх того, что необходимо для демонстрации проблемы.
Машиночитаемый контакт для сообщений также опубликован по адресу /.well-known/security.txt.
06
Контакт для сообщения об уязвимости
Используйте этот адрес для сообщений об уязвимостях, затрагивающих публичный сайт или связанные открытые сценарии.
Контакт для сообщений
contact@speak-up.proМаршрут проверки
Нужен комплект материалов для юридической проверки, проверки конфиденциальности или безопасности?
Откройте страницу запроса материалов, если команде нужен следующий набор материалов после публичных страниц.