På Hapio, som är en applikation tillgänglig för en global publik, får vi flera rapporter varje vecka från olika säkerhetsforskare. Många av dessa rapporter belyser liknande problem, och även om vi inte har något formellt belöningsprogram förväntar sig vissa forskare ibland ersättning bara för att de kontaktar oss.

Vi tar alla säkerhetsrapporter på allvar och ser till att varje inlämning granskas noggrant. Som en relativt ny aktör på den globala scenen måste vi dock inse att våra resurser är begränsade. Varje timme som läggs på att hantera säkerhetsrapporter är en timme som inte investeras i att förbättra Hapios plattform för våra användare. Mot bakgrund av detta har vi beslutat att revidera vårt tillvägagångssätt för att hantera säkerhetsfrågor.

Från och med december 2024 kommer vi att implementera en tydligare policy som skiljer mellan rapporter relaterade till våra domäner. Skälet bakom detta beslut är enkelt: webbplatsen hapio.io fungerar oberoende av den teknik som driver hapio.app- och hapio.net-plattformen. Även om vi fullt ut förstår vikten av att skydda webbplatsen hapio.io mot potentiella hot som hacking, defacement eller spoofing, kommer vårt primära fokus alltid att ligga på att säkerställa säkerheten och tillförlitligheten hos Hapio.app-portalen och Hapio.net booking API, som betjänar våra värdefulla kunder.

Hapio.io rapporterar

Rapporter relaterade till hapio.io-domänen och dess associerade teknik kategoriseras som låg prioritet. Dessa rapporter kommer att granskas, men det kan förekomma förseningar i behandlingen. Observera att monetära belöningar inte utfärdas för hapio.io-rapporter, eftersom de flesta resultat inte är kritiska när de utvärderas i rätt sammanhang.

Vi uppmuntrar forskare att fokusera på sårbarheter med stort genomslag snarare än resultat som enbart genereras av automatiserade verktyg som Snyk, OpenVAS eller Nikto, som ofta flaggar för problem som visserligen är anmärkningsvärda men som inte utgör allvarliga hot.

Vi är fast beslutna att upprätthålla säkerheten på vår webbplats som vänder sig till allmänheten och uppskattar ansträngningarna från forskare som bidrar till dess säkerhet.

Rapporter från Hapio.app och Hapio.net

Rapporter som rör domänerna hapio.app och hapio.net och den teknik som stöder denna plattform behandlas med högsta prioritet och inskickade rapporter kommer att granskas omgående.

• Validering uppmuntras:
  För att maximera chanserna till erkännande rekommenderar vi att du använder Hapios kostnadsfria nivå för att bekräfta att problemet är reproducerbart och uppfyller sårbarhetskriterierna innan du skickar in din rapport.
• Inga monetära belöningar:
  Vi erbjuder inga monetära belöningar för närvarande.

Erkännande och förtroende

Vi förstår att förtroende är en integrerad del av relationen mellan forskare och företag. För att säkerställa en rättvis utvärdering kommer vi att samarbeta med en oberoende expert för att bedöma hur allvarliga sårbarheterna är och fastställa lämplig allvarlighetsgrad i rapporten. Detta tillvägagångssätt gör det möjligt för oss att upprätthålla transparens och trovärdighet.

Vi erkänner forskarnas insatser genom icke-monetära incitament, till exempel genom att inkludera dem i vår Hall of Fame för betydelsefulla avslöjanden. Även om vi inte kan garantera några monetära belöningar för inlämning, är vi fast beslutna att erkänna bidrag som hjälper till att säkra våra system.

Riktlinjer för inlämning

För att effektivisera processen och säkerställa snabba svar måste alla säkerhetsredovisningar skickas till support@hapio.io. Rapporter som skickas via andra kanaler - t.ex. formulär för kundsupport, chattar för teknisk support, sociala medier, GitHub eller kanaler för produktupptäckt - kommer inte att behandlas och kan komma att flaggas som skräppost.

• Förväntade tidsfrister:
  Vi strävar efter att göra en första bedömning inom 5 arbetsdagar, och de rapporter som bedöms ha hög prioritet kommer att få en bekräftelse inom 72 timmar efter bedömningen. Tidslinjen är inte garanterad och kan ändras beroende på verkliga händelser och arbetsbelastning.
• Format:
  Vänligen inkludera detaljerade steg för att återskapa problemet, bevis som stöder sårbarheten och den potentiella effekten. Denna information hjälper oss att behandla din rapport på ett effektivt sätt och ökar sannolikheten för erkännande.
• Artificiell intelligens:
  Om din rapport har genererats eller fått hjälp av verktyg för artificiell intelligens (t.ex. ChatGPT, Claude, CoPilot, Perplexity) ska du ange detta och specificera i vilken utsträckning AI har använts. Observera att AI-verktyg ibland kan producera felaktiga eller obefintliga sårbarheter. För att säkerställa kvaliteten och riktigheten i inlämningarna bör du avstå från att använda AI-genererat innehåll där det är möjligt, eftersom vi inte har resurser att validera AI-genererade inlämningar av låg kvalitet.