Pereiti prie pagrindinio turinio
AETHER
Gauti auditą

Ačiū saugumo tyrinėtojams

Paskutinį kartą atnaujinta:

Šis puslapis dedikuotas visiems, kurie padėjo padaryti AETHER saugesnę platformą — atsakingai pranešė apie rastus pažeidžiamumus per security@azorasec.lt arba security.txt kanalą.

Hall of Fame

Kol kas nėra viešai įvardintų atradimų — AETHER yra nauja platforma (LIVE nuo 2026-04-20), ir responsible disclosure programa tik pradeda veikti.

Kai tik gausime pirmą patvirtintą atradimą ir tyrinėtojas sutiks būti paminėtas — jo vardas atsiras šiame sąraše.

Kaip patekti į sąrašą

  1. Raskite saugumo pažeidžiamumą azorasec.lt scope'e (visi AETHER domain'ai + subdomain'ai)
  2. Praneškite apie jį į security@azorasec.lt su aiškiu reprodukcijos žingsniu
  3. Neatskleiskite viešai per 90 dienų (coordinated disclosure window — žiūrėkite Saugumo politikoje)
  4. Jei radinys patvirtintas + patchas deployed — gausite pasirinkimą būti paminėtas šiame puslapyje (handle, tikras vardas ar anonimiškai)

Ką pripažįstame

  • Production web app'o vulnerabilityes — auth bypass, IDOR, SQL injection, XSS, SSRF, RCE
  • Infrastructure vulnerabilities — exposed DB credentials, vulnerable dependencies, misconfigured cloud services
  • Cryptographic issues — weak TLS config, insecure secret storage, broken auth flows
  • Business logic flaws — payment bypass, quota evasion, privilege escalation

Ko nepripažįstame

  • Missing security headers (jei jau išbarsti per tinkamą CSP — informuosime, bet ne hall of fame)
  • Public metadata exposure (OSINT)
  • Socialinio inžinieriaus bandymai ant AETHER komandos
  • DDoS arba volumetrinės atakos (naudokitės Cloudflare, ne mūsų)
  • Automated scanner output'as be manual reproduction

Mūsų įsipareigojimai jums

  • Atsakysime per 72 val. — min. SLA su realiu žmogumi
  • Nepatrauksime legal'io — AETHER neturi piktnaudžiavimo baudų responsible disclosure atveju (safe harbor)
  • Patched within 30 days for Critical/High, 90 days Medium, best-effort Low
  • Public CVE numeris jei taikytina (upstream dependency ar public library)

Oficialus kontaktų kanalas: security@azorasec.lt · PGP keys publikuojama security.txt faile.

Daugiau detalių — pilna Saugumo politika.