Политика ответственного раскрытия уязвимостей

1. Цель

Безопасность Grik.io, Ricochet, Rico, пользователей, данных и интеграций является приоритетом. Мы приветствуем добросовестные сообщения исследователей безопасности о потенциальных уязвимостях и просим соблюдать настоящую Политику ответственного раскрытия.

2. Что входит в scope

В scope входят интернет-доступные системы, домены, поддомены, API, dashboard, billing, hosted inference, Grik Gateway, Ricochet cloud components, Rico render components, официальные open-source репозитории Ricochet и официальные мессенджер-интеграции, если они принадлежат или контролируются Grik.io.

3. Что не входит в scope

Не входят системы третьих лиц, даже если они интегрированы с Grik.io: AI providers, payment processors, hosting providers, messengers, GitHub/GitLab, OpenRouter, marketplaces, browser stores, app stores и иные независимые сервисы. Уязвимости таких сервисов нужно направлять их владельцам.

4. Уязвимости, которые нас интересуют

• authentication bypass, account takeover при минимальном тестировании на собственном аккаунте;
• privilege escalation, IDOR, access control failures;
• remote code execution, command injection, sandbox escape;
• SSRF, SQL/NoSQL injection, XSS с реальным impact, CSRF на чувствительных действиях;
• secrets exposure, leakage of API keys, tokens, webhooks или private data;
• insecure handling of BYOK keys, workspace secrets, repository tokens или messenger credentials;
• supply-chain risks in official packages, build scripts, CI/CD, extensions, updates или installers;
• cross-tenant data access, billing bypass, credit abuse vulnerabilities with real security impact.

5. Исключения и запрещенные методы

• DDoS, resource exhaustion, stress testing, spam, mass scanning or automated high-volume testing;
• social engineering, phishing, vishing, smishing, bribery or impersonation of employees, contractors or users;
• physical attacks, office access, device theft or network intrusion outside explicit authorization;
• brute force against accounts that are not yours, password spraying, credential stuffing;
• accessing, downloading, modifying, deleting or retaining data that is not yours beyond what is strictly necessary to prove impact;
• public disclosure before coordinated remediation, unless required by law;
• extortion, threats, conditional disclosure demands or demands for payment as a condition of reporting;
• pure model jailbreaks, prompt-safety issues or content policy concerns without a technical vulnerability; send such reports to the safety contact instead.

6. Правила исследования

Тестируйте только собственные аккаунты, workspaces, репозитории, ключи, устройства и данные. Используйте минимально необходимый proof of concept. Не нарушайте доступность сервиса и не ухудшайте опыт других пользователей.

Если вы случайно получили доступ к чужим данным, немедленно прекратите тестирование, не копируйте данные, не распространяйте их и включите описание инцидента в отчет.

7. Как отправить отчет

Отправьте отчет на security@grik.io. Если этот адрес еще не активирован, используйте резервный e-mail support@grik.io с темой SECURITY REPORT. В одном отчете описывайте одну уязвимость.

• тип и предполагаемая серьезность уязвимости;
• затронутый URL, endpoint, репозиторий, package, версия, app или integration;
• шаги воспроизведения;
• proof of concept, screenshots, screen recording, logs или минимальный код;
• потенциальное влияние и affected data;
• рекомендации по remediation, если есть;
• планы публичного раскрытия, если вы хотите их согласовать.

8. Что вы можете ожидать от нас

Мы стремимся подтвердить получение добросовестного отчета в течение 3 рабочих дней, провести triage, запросить уточнения при необходимости и сообщать об основных этапах расследования. Сроки исправления зависят от сложности, риска, third-party dependencies и необходимости координации с поставщиками.

9. Safe harbor

Если вы действуете добросовестно, соблюдаете настоящую Политику, закон и не причиняете вреда, мы не будем инициировать юридические претензии исключительно из-за такого исследования и ответственного сообщения. Safe harbor не распространяется на вымогательство, угрозы, незаконный доступ, причинение вреда, нарушение прав третьих лиц или действия вне scope.

10. Публичное раскрытие

Мы поддерживаем право исследователей на публичное раскрытие после безопасной координации. Не раскрывайте детали уязвимости публично или третьим лицам до согласования разумного срока remediation с Grik.io, если раскрытие не требуется законом.

11. Вознаграждение

На дату последнего обновления Grik.io не гарантирует выплату bug bounty. Мы можем по своему усмотрению поблагодарить исследователя, указать имя при публичном раскрытии или предложить иное признание, если это законно и согласовано.