Chez Hapio, en tant qu'application accessible à un public mondial, nous recevons chaque semaine de nombreux rapports de divers chercheurs en sécurité. Beaucoup de ces rapports mettent en évidence des problèmes similaires, et bien que nous n'ayons pas de programme formel de primes, certains chercheurs attendent parfois une compensation simplement parce qu'ils nous ont contactés.

Nous prenons au sérieux tous les rapports de sécurité et veillons à ce que chaque demande soit examinée en profondeur. Cependant, en tant qu'acteur relativement nouveau sur la scène mondiale, nous devons reconnaître la réalité des ressources limitées. Chaque heure passée à traiter les rapports de sécurité est une heure qui n'est pas investie dans l'amélioration de la plateforme Hapio pour nos utilisateurs. C'est pourquoi nous avons décidé de revoir notre approche du traitement des problèmes de sécurité.

À compter de décembre 2024, nous mettrons en œuvre une politique plus claire distinguant les rapports liés à nos domaines. La raison de cette décision est simple : le site web hapio.io fonctionne indépendamment de la technologie qui alimente les plateformes hapio.app et hapio.net. Bien que nous comprenions parfaitement l'importance de protéger le site web hapio.io contre les menaces potentielles telles que le piratage, la défiguration ou l'usurpation d'identité, notre objectif principal restera toujours d'assurer la sécurité et la fiabilité du portail Hapio.app et de l'API de réservation Hapio.net, qui servent nos clients estimés.

Rapports de Hapio.io

Les rapports relatifs au domaine hapio.io et à la technologie qui lui est associée sont classés dans la catégorie "faible priorité". Bien que ces soumissions soient examinées, leur traitement peut être retardé. Veuillez noter que les rapports relatifs au domaine hapio.io ne donnent pas lieu à des récompenses monétaires, car la plupart des résultats ne sont pas critiques lorsqu'ils sont évalués dans le contexte approprié.

Nous encourageons les chercheurs à se concentrer sur les vulnérabilités à fort impact plutôt que sur les résultats générés uniquement par des outils automatisés tels que Snyk, OpenVAS ou Nikto, qui signalent souvent des problèmes qui, bien que dignes d'intérêt, ne constituent pas des menaces graves.

Nous restons déterminés à maintenir la sécurité de notre site web public et nous apprécions les efforts des chercheurs qui contribuent à sa sécurité.

Rapports Hapio.app et Hapio.net

Les rapports concernant les domaines hapio.app et hapio.net et la technologie qui soutient cette plateforme sont traités avec la plus haute priorité et les soumissions seront examinées rapidement.

• Validation encouragée :
  Pour maximiser les chances de reconnaissance, nous recommandons d'utiliser la version gratuite de Hapio pour confirmer que le problème est reproductible et qu'il répond aux critères de vulnérabilité avant de soumettre votre rapport.
• Pas de récompenses monétaires :
  Nous n'offrons pas de récompenses monétaires pour le moment.

Reconnaissance et confiance

Nous comprenons que la confiance fait partie intégrante de la relation entre le chercheur et l'entreprise. Pour garantir une évaluation équitable, nous collaborerons avec un expert indépendant pour évaluer la gravité des vulnérabilités et déterminer la gravité appropriée du rapport. Cette approche nous permet de maintenir la transparence et la crédibilité.

Nous reconnaissons les efforts des chercheurs par le biais d'incitations non monétaires, telles que l'inclusion dans notre " Hall of Fame " pour les divulgations ayant un impact. Bien que nous ne puissions pas garantir de récompenses monétaires pour les soumissions, nous nous engageons à reconnaître les contributions qui aident à sécuriser nos systèmes.

Lignes directrices pour la soumission

Afin de rationaliser le processus et de garantir des réponses rapides, toutes les divulgations de sécurité doivent être soumises à l'adresse suivante support@hapio.io. Les rapports envoyés par d'autres canaux - tels que les formulaires d'assistance à la clientèle, les chats d'assistance technique, les médias sociaux, GitHub ou les canaux de découverte de produits - ne seront pas traités et risquent d'être signalés comme du spam.

• Délais prévus :
  Nous nous efforçons de procéder à une première évaluation dans les cinq jours ouvrables, et les rapports jugés prioritaires recevront un accusé de réception dans les 72 heures suivant l'évaluation. Les délais ne sont pas garantis et peuvent varier en fonction des événements réels et de la charge de travail.
• Format de soumission :
  Veuillez inclure des étapes détaillées pour reproduire le problème, des preuves à l'appui de la vulnérabilité et l'impact potentiel. Ces informations nous aident à traiter efficacement votre rapport et augmentent les chances de reconnaissance.
• Intelligence artificielle :
  Si votre rapport a été généré ou assisté par des outils d'intelligence artificielle (par exemple, ChatGPT, Claude, CoPilot, Perplexity), veuillez l'indiquer et préciser dans quelle mesure l'intelligence artificielle a été utilisée. Notez que les outils d'intelligence artificielle peuvent parfois produire des vulnérabilités inexactes ou inexistantes. Afin de garantir la qualité et l'exactitude des soumissions, veuillez vous abstenir d'utiliser du contenu généré par l'IA dans la mesure du possible, car nous ne disposons pas des ressources nécessaires pour valider les soumissions de faible qualité générées par l'IA.