Bezpečnostní politika
Jak nahlásit bezpečnostní problém a co se stane potom.
Strojově čitelná verze této politiky žije na /.well-known/security.txt
Bezpečnost bereme vážně
Seth pracuje se soukromými konverzacemi, reflexemi a platebními údaji. Pokud najdeš zranitelnost, prosím nahlas ji níže uvedeným kanálem dřív, než ji zveřejníš. S poctivými výzkumníky jednáme jako s partnery — ne s nepřáteli.
Jak nahlásit
Použij v předmětu prefix "[SECURITY]", aby se zpráva správně přesměrovala. PGP není nutné, schránku kontrolujeme denně.
V hlášení prosím uveď:
- Jasný popis problému
- Kroky k reprodukci (URL, request, payload, použitý účet)
- Odhad dopadu (co za data nebo účty může být zasaženo)
- Jakýkoliv proof-of-concept, který jsi ochotný/á sdílet
Co se stane dál
- Do 72 hodin: dostaneš od člověka potvrzení a tracking referenci.
- Do 14 dnů: potvrdíme problém, vysvětlíme závažnost a sdílíme plán opravy.
- Koordinovaná publikace: termín zveřejnění si dohodneme společně. Pokud chceš, uvedeme tě jako reportéra.
- Zpoždění se stávají: pokud oprava vyžaduje víc než 90 dní, informujeme tě o důvodu.
Co patří do rozsahu
- sethapp.com a její produkční subdomény
- Veřejné endpointy chatu, autentizace, plateb a webhooků
- Integrace Supabase / ElizaOS v našich aplikacích
- Service worker a push notifikace
- Služby třetích stran (Stripe, Supabase, NOWPayments) — nahlas přímo poskytovateli
- Social engineering útoky na zaměstnance nebo uživatele
- Denial-of-service proti produkci (prosím netestuj nás zátěžově)
- Fyzické útoky nebo cokoli, co porušuje platné zákony
- Chybějící best-practice hlavičky bez prokazatelného dopadu
Safe harbor
Pokud se této politiky držíš v dobré víře — žádné exfiltrace dat, žádné převzetí cizích účtů, žádné narušování provozu — nebudeme proti tobě vést právní kroky. Testuj jen na účtech, které ovládáš, skonči hned jakmile potvrdíš dopad a nikdy nesahej na data, která ti nepatří.
Odměny
Aktuálně provozujeme reputační program, ne placené bounty. Smysluplné reporty veřejně oceníme (s tvým souhlasem) a dostanou přednostní zpracování. U kritických zranitelností si vyhrazujeme právo nabídnout finanční odměnu dle vlastního uvážení.
Poslední aktualizace: červenec 2026