På Hapio, som en applikation tillgänglig för en global publik, tar vi emot flera rapporter varje vecka från olika säkerhetsforskare. Många av dessa rapporter belyser liknande problem, och även om vi inte har ett formellt belöningsprogram förväntar sig vissa forskare ibland kompensation bara för att de kontaktar oss.

Vi tar alla säkerhetsrapporter på allvar och ser till att varje inlämning granskas noggrant. Men som en relativt ny aktör på den globala scenen måste vi erkänna verkligheten med begränsade resurser. Varje timme som läggs på att hantera säkerhetsrapporter är en timme som inte investeras i att förbättra Hapio-plattformen för våra användare. Mot bakgrund av detta har vi beslutat att se över vårt tillvägagångssätt för att hantera säkerhetsproblem.

Från och med december 2024 kommer vi att implementera en tydligare policy som skiljer mellan rapporter relaterade till våra domäner. Motiveringen bakom detta beslut är enkel: webbplatsen hapio.io fungerar oberoende av tekniken som driver plattformen hapio.app och hapio.net. Även om vi fullt ut förstår vikten av att skydda webbplatsen hapio.io mot potentiella hot som hacking, förvanskning eller spoofing, kommer vårt primära fokus alltid att vara att säkerställa säkerheten och tillförlitligheten för Hapio.app-portalen och Hapio.net boknings-API, som betjänar våra värdefulla kunder.

Hapio.io rapporter

Rapporter relaterade till domänen hapio.io och dess tillhörande teknik kategoriseras som låg prioritet. Även om dessa inlämningar kommer att granskas kan det uppstå förseningar i behandlingen. Observera att inga ekonomiska belöningar utfärdas för hapio.io-rapporter, eftersom de flesta resultat inte är kritiska när de utvärderas i rätt sammanhang.

Vi uppmuntrar forskare att fokusera på sårbarheter med stor påverkan snarare än resultat som genereras enbart av automatiserade verktyg som Snyk, OpenVAS eller Nikto, som ofta flaggar problem som, även om de är värda att notera, inte utgör allvarliga hot.

Vi är fortsatt engagerade i att upprätthålla säkerheten på vår offentliga webbplats och uppskattar ansträngningen från forskare som bidrar till dess säkerhet.

Rapporter om Hapio.app och Hapio.net

Rapporter som rör domänerna hapio.app och hapio.net, samt tekniken som stöder denna plattform, behandlas med högsta prioritet och inlämnade bidrag kommer att granskas omgående.

• Validering uppmuntras:
  För att maximera chansen till erkännande rekommenderar vi att du använder den kostnadsfria nivån av Hapio för att bekräfta att problemet är reproducerbart och uppfyller kriterierna för sårbarhet innan du skickar in din rapport.
• Inga ekonomiska belöningar:
  Vi erbjuder inga ekonomiska belöningar för tillfället.

Erkännande och förtroende

Vi förstår att förtroende är en viktig del av relationen mellan forskare och företag. För att säkerställa en rättvis utvärdering kommer vi att samarbeta med en oberoende expert för att bedöma sårbarheternas allvarlighetsgrad och fastställa lämplig prioritet för rapporten. Detta tillvägagångssätt gör det möjligt för oss att upprätthålla transparens och trovärdighet.

Vi uppmärksammar forskares insatser genom icke-monetära incitament, som till exempel inkludering i vår Hall of Fame för betydelsefulla avslöjanden. Även om vi inte kan garantera några ekonomiska belöningar för inlämnade bidrag, är vi engagerade i att erkänna bidrag som hjälper till att säkra våra system.

Riktlinjer för inlämning

För att effektivisera processen och säkerställa snabba svar måste alla säkerhetsrelaterade avslöjanden skickas till support@hapio.io. Rapporter som skickas via andra kanaler – som till exempel kundsupportformulär, tekniska supportchattar, sociala medier, GitHub eller kanaler för produktupptäckt – kommer inte att behandlas och kan flaggas som spam.

• Förväntade tidsramar:
  Vi strävar efter att ha en första bedömning genomförd inom 5 arbetsdagar, och bidrag som bedöms vara högprioriterade rapporter kommer att få en bekräftelse inom 72 timmar efter bedömningen. Tidslinjen är inte garanterad och kan komma att ändras beroende på verkliga händelser och arbetsbelastning.
• Inlämningsformat:
  Vänligen inkludera detaljerade steg för att reproducera problemet, bevis som stöder sårbarheten och den potentiella påverkan. Att inkludera denna information hjälper oss att behandla din rapport effektivt och ökar sannolikheten för erkännande.
• Artificiell intelligens:
  Om din rapport har genererats eller assisterats av verktyg för artificiell intelligens (t.ex. ChatGPT, Claude, CoPilot, Perplexity), vänligen uppge detta och specificera i vilken utsträckning AI användes. Observera att AI-verktyg ibland kan producera felaktiga eller icke-existerande sårbarheter. För att säkerställa kvaliteten och noggrannheten i bidragen, vänligen avstå från att använda AI-genererat innehåll i möjligaste mån, eftersom vi inte har resurser att validera AI-genererade bidrag av låg kvalitet.