Saugumas

Paskutinį kartą atnaujinta: 2026 m. kovo 15 d.

Šios svetainės saugumas ir naudotojų privatumas mums yra svarbūs. Mes laukiame atsakingo saugumo pažeidžiamumų atskleidimo (responsible disclosure) iš saugumo tyrėjų, kūrėjų ir visuomenės narių.

Šiame puslapyje aprašoma mūsų responsible disclosure politika — kaip pranešti apie pažeidžiamumą, kas patenka į apimtį (scope) ir kaip mes reaguosime. Tirdami ir pranešdami apie galimas saugumo problemas, laikykitės šių gairių.

Pranešti apie pažeidžiamumą

Jei aptikote saugumo pažeidžiamumą, praneškite mums el. paštu. Neviesinkite pažeidžiamumo viešai, kol neturėsime pakankamai laiko jį ištirti ir pašalinti.

contact@freeonlinenosignup.com

Į temą įrašykite „Security Vulnerability Report“ ir pateikite kuo daugiau šios informacijos:

  • Aiškus pažeidžiamumo aprašymas ir galimas poveikis
  • Paveiktas URL, endpoint arba komponentas
  • Žingsnis po žingsnio instrukcijos, kaip atkartoti problemą
  • Bet koks proof-of-concept kodas, ekrano nuotraukos arba request/response pavyzdžiai
  • Jūsų vardas ar slapyvardis, jei norite būti paminėti (nebūtina)

Apimtis (scope)

Toliau išvardyti dalykai laikomi patenkančiais į atsakingo atskleidimo apimtį:

  • Cross-site scripting (XSS)
  • Cross-site request forgery (CSRF)
  • Server-side injection pažeidžiamumai (SQL injection, command injection ir pan.)
  • Autentifikavimo arba autorizavimo apėjimas
  • Jautrių duomenų atskleidimas arba informacijos nutekėjimas
  • Saugumo konfigūracijos klaidos, kurias gali išnaudoti užpuolikas
  • Open redirects, kurie gali būti naudojami phishing atakoms
  • Insecure direct object references
  • Remote code execution

Neapimama

Toliau išvardyti dalykai laikomi nepatenkančiais į apimtį ir nebus priimami kaip galiojantys pažeidžiamumo pranešimai:

  • Denial of service (DoS ar DDoS) atakos arba testavimas
  • Brute force atakos prieš bet kurią svetainės dalį
  • Automatinis skenavimas be išankstinio raštiško leidimo
  • Social engineering ar phishing atakos, nukreiptos į mūsų naudotojus ar komandą
  • Fizinio saugumo problemos
  • Trečiųjų šalių paslaugų, bibliotekų ar infrastruktūros pažeidžiamumai, kurių tiesiogiai nekontroliuojame — praneškite atitinkamam tiekėjui
  • Trūkstamos saugumo antraštės (security headers), kurios šiame kontekste neparodo realiai išnaudojamos pažeidžiamos vietos
  • Teoriniai pažeidžiamumai be veikiančio proof of concept arba įrodyto poveikio
  • Problemos, kurios reikalauja, kad naudotojas jau būtų kompromitavęs savo įrenginį ar naršyklę

Ko tikėtis

Kai pateikiate pažeidžiamumo pranešimą, galite tikėtis šio:

1

Patvirtinimas

Patvirtinsime, kad gavome jūsų pranešimą, per 3 darbo dienas.

2

Tyrimas

Ištirsime pranešimą ir įvertinsime problemos pagrįstumą bei rimtumą. Jei reikės papildomos informacijos, galime užduoti klausimų.

3

Sprendimas

Patvirtintus pažeidžiamumus stengsimės ištaisyti kuo greičiau, prioritetus nustatydami pagal rimtumą. Informuosime jus apie eigą.

4

Atskleidimas

Kai problema bus išspręsta, jei norėsite, galėsime suderinti viešą atskleidimą. Prašome skirti mums pagrįstą remediacijos laikotarpį prieš publikuojant detales.

Mūsų įsipareigojimai

Kai pranešate apie pažeidžiamumą sąžiningai ir laikydamiesi šios politikos, mes įsipareigojame:

  • Nesiimti teisinių veiksmų prieš jus dėl jūsų tyrimo
  • Laikyti jūsų pranešimą konfidencialų ir nesidalinti jūsų asmeniniais duomenimis be jūsų sutikimo
  • Informuoti jus apie problemos būseną
  • Paminėti jus kaip atradėją, jei norite ir jei problema patvirtinama
  • Laiku spręsti patvirtintus pažeidžiamumus

Mainais prašome nepasiekti, nekeisti ir nenaikinti duomenų, kurie jums nepriklauso; netrikdyti svetainės pasiekiamumo; ir nevykdyti testavimo su kitų naudotojų paskyromis ar duomenimis.

Kontaktai

Dėl bendrų klausimų apie šią politiką (ne dėl pažeidžiamumų pranešimų) naudokite kontaktų puslapį. Dėl nesaugumo klaidų pranešimų naudokite puslapį pranešti apie problemą.