Последнее обновление: 19 May 2026
ExCards приветствует ответственные сообщения об уязвимостях от security-исследователей. Эта политика описывает что в скоупе, как подать отчёт, чего ждать в ответ и условия safe-harbor — при добросовестном исследовании мы не преследуем юридически.
excards.io, ex.cards, app.excards.io и эндпойнты Netlify Functions под /.netlify/functions/. Любой sub-path этих доменов в скоупе. Системы партнёра-эмитента и инфраструктура сетей Visa/Mastercard — вне скоупа.
DoS-атаки. Социальная инженерия сотрудников или клиентов. Физические атаки. Спам и контент-инъекции в чаты. Brute-force паролей. Проблемы в сторонних сервисах (Cloudflare, Netlify, OpenRouter, Notion) — обращайся к оператору сервиса напрямую.
Отправляй в app.excards.io с тегом "security" в начале сообщения. Укажи: описание уязвимости, шаги воспроизведения, затронутый URL/эндпойнт, оценку воздействия, PoC-материалы. Шифрованная связь по запросу — пришли PGP-ключ, ответим на защищённом канале.
Чёткие воспроизводимые шаги, точный request/response показывающий проблему, затронутая роль пользователя или auth-состояние, оценка воздействия (какие данные раскрыты, возможность account takeover, потенциал монетарного ущерба). Размытые отчёты без шагов воспроизведения могут быть деприоритизированы.
Подтверждение получения в течение 24 часов. Триаж и подтверждение/отказ — в течение 5 рабочих дней. Сроки фикса по подтверждённым проблемам — в течение 10 рабочих дней. Критические (активный эксплойт, account takeover, массовая утечка) — цель митигации 24 часа.
Мы не подаём юридический иск и не уведомляем правоохранителей о добросовестном security-исследовании по этой политике. Добросовестно значит: тестировать только на своих аккаунтах; не получать доступ, не изменять, не скачивать чужие данные; не публиковать проблему до выпуска фикса; не пытаться попасть во внутренние системы вне скоупа.
Мы не запускаем платную bug bounty программу сейчас. Можем дать публичное признание на странице acknowledgments (по согласию) за валидные отчёты. Не платим за отчёты которые уже известны, сгенерированы автоматическими сканерами или малозначительны.
Стандартное окно координированного раскрытия — 90 дней с первого отчёта. Критические уязвимости могут потребовать больше времени если фикс требует координации с партнёром-эмитентом. Мы держим репортёра в курсе и запрашиваем согласие на продление.
Отчёты: app.excards.io, префикс "security".