Înapoi la homepage

Raportare vulnerabilități

Ultima actualizare: 29.03.2026 • Versiune: v1.1

0. Rezumat (necontractual)

  • Încurajăm raportarea responsabilă a vulnerabilităților care afectează activele publice operate de SMSsend.
  • Nu desfășura teste care afectează disponibilitatea, integritatea sau confidențialitatea datelor altor persoane.
  • Oprește testarea după demonstrarea minimă a problemei și trimite-ne raportul cât mai repede.
  • Nu publica detalii tehnice exploatabile înainte de remediere sau coordonare rezonabilă.
  • Nu există program formal de bug bounty și nu promitem compensații financiare.

1. Scopul acestei politici

Această pagină descrie modul în care poți raporta responsabil vulnerabilități de securitate identificate în activele publice ale platformei SMSsend.

Obiectivul nostru este să încurajăm cooperarea de bună-credință, să reducem riscul pentru utilizatori, să investigăm rapid raportările relevante și să tratăm divulgarea într-un mod coordonat și proporțional.

2. Ce este, în principiu, în scope

În mod normal, pot intra în scope:

  • domeniul public smssend.ro și paginile/asset-urile publice operate de noi;
  • funcțiile autentificate ale aplicației, dacă sunt testate pe propriul tău cont sau într-un context pe care ai dreptul să îl folosești;
  • API-urile și endpoint-urile public expuse de serviciu;
  • fluxurile de autentificare, autorizare, sesiune, billing, short links, SMS și, acolo unde sunt active, fluxurile Voice / AI Calls operate de noi.

Un activ nu este automat „în scope” doar pentru că este tehnic accesibil. Dacă nu este clar dacă ceva intră în domeniul acestei politici, tratează-l conservator și întreabă-ne înainte.

3. Ce NU este în scope fără acord explicit

  • infrastructura, conturile, consolele sau serviciile furnizorilor terți folosiți de noi (de exemplu procesatori de plăți, furnizori voice/SMS, hosting, AI, email, facturare), dacă nu testarea se limitează la interfața publică expusă de noi;
  • medii private, interne, de staging, demo, development sau resurse nepublicate explicit de noi pentru testare externă;
  • social engineering, phishing, pretexting, testarea personalului, a contractorilor sau a clienților noștri;
  • teste fizice, acces la birouri, echipamente, SIM-uri, dispozitive sau rețele care nu sunt clar autorizate;
  • atacuri volumetrice, scanare agresivă, DoS/DDoS, request floods sau alte tehnici care afectează disponibilitatea serviciului.

4. Reguli obligatorii de testare

Dacă alegi să raportezi o vulnerabilitate, te rugăm să respecți toate regulile de mai jos:

  • acționezi cu bună-credință și urmărești exclusiv identificarea și raportarea responsabilă a problemei;
  • nu accesezi, nu exfiltrezi, nu descarci și nu păstrezi date reale ale altor utilizatori mai mult decât este strict necesar pentru dovada minimă a vulnerabilității;
  • nu modifici, nu ștergi, nu corupi și nu persiști date sau configurații ale altor utilizatori;
  • nu generezi costuri comerciale inutile, tranzacții reale, charge-uri, apeluri sau mesaje către terți fără drept și fără necesitate minimă de demonstrare;
  • nu inițiezi apeluri reale către persoane terțe, nu trimiți SMS-uri și nu folosești funcții Voice/AI pentru a contacta destinatari fără permisiune clară;
  • nu încerci să ocolești limitări comerciale, anti-abuz, rate limit, credit limits, bundle caps sau alte controale defensive în afara unui test minim, controlat și justificat;
  • oprești testarea imediat după ce ai demonstrat existența vulnerabilității la nivel minim rezonabil.

5. Safe harbor condiționat

Dacă acționezi cu bună-credință, în limitele acestei politici, fără a produce întreruperi, fără a accesa sau expune inutil date personale și fără a persista în exploatare după demonstrarea minimă, nu intenționăm să inițiem acțiuni împotriva ta exclusiv pentru activitățile de testare acoperite de această politică.

Acest safe harbor este condiționat. El nu se aplică dacă:

  • încalci legea aplicabilă;
  • afectezi disponibilitatea serviciului sau a terților;
  • exfiltrezi, publici, vinzi sau folosești date în afara scopului de raportare;
  • continui testarea după ce ai demonstrat vulnerabilitatea;
  • folosești tehnici de social engineering, fraudă, impersonare sau coerciție.

Această politică nu îți acordă drepturi asupra sistemelor terților și nu derogă de la legea aplicabilă sau de la drepturile persoanelor afectate.

6. Ce trebuie să conțină raportul

Ca să putem investiga eficient, raportul ar trebui să includă, pe cât posibil:

  • un titlu scurt și clar;
  • activul afectat (URL, endpoint, funcție, ecran, resursă relevantă);
  • data/ora aproximativă a testului și fusul orar, dacă sunt relevante;
  • prerechizite sau condiții de reproducere;
  • pași de reproducere clari și ordonați;
  • impactul estimat și ce tip de risc ai observat;
  • un PoC minim, suficient pentru reproducere, fără cod sau date excesive;
  • capturi/loguri redacționate, dacă ajută;
  • ce cont ai folosit sau dacă a fost implicat propriul tău cont;
  • dacă ai accesat accidental date reale, ce tip de date au fost și în ce volum minim.

7. Cum raportezi

Trimite raportul la:
office@tech-world.ro

În subiect este util să folosești un format clar, de exemplu: [SECURITY] numele activului + rezumatul scurt al vulnerabilității.

Dacă în viitor publicăm o adresă dedicată de securitate, aceasta va înlocui sau completa canalul de mai sus în Imprint și pe această pagină.

8. Ce facem după ce primim raportul

  • încercăm să confirmăm primirea într-un termen rezonabil;
  • evaluăm dacă raportul este în scope, reproductibil și suficient documentat;
  • putem cere clarificări suplimentare;
  • prioritizăm investigația și remedierea în funcție de severitate, expunere și risc;
  • putem coordona intern cu furnizori terți sau consultanți atunci când problema îi implică.

Nu garantăm un SLA fix public pentru toate raportările, dar încercăm să tratăm prioritar problemele credibile și bine documentate.

9. Divulgare publică și coordinated disclosure

Te rugăm să nu publici detalii exploatabile, PoC-uri complete sau dovezi care pot afecta utilizatorii înainte să avem ocazia rezonabilă să investigăm și să remediem sau să aplicăm o mitigare adecvată.

  • Preferăm o divulgare coordonată și responsabilă.
  • Dacă dorești publicare, discută asta cu noi în prealabil.
  • În unele cazuri, putem agrea menționarea numelui tău/alias-ului după remediere, dar nu promitem automat acest lucru.

10. Recompense și bug bounty

Nu există un program formal de bug bounty în acest moment.

Putem decide discreționar dacă oferim sau nu o formă de recunoaștere, dar nu există obligație contractuală, comercială sau legală de a plăti o recompensă pentru o raportare.

11. Date personale și confidențialitatea raportărilor

  • Te rugăm să incluzi doar datele strict necesare pentru investigarea vulnerabilității.
  • Nu trimite parole, date complete de card, token-uri active, baze de date complete sau exporturi masive de date.
  • Dacă ai inclus accidental date personale sau sensibile, menționează asta clar în raport.
  • Vom încerca să tratăm raportările și datele aferente cu confidențialitate rezonabilă, în limitele legii și ale nevoilor operaționale.

12. Exemple de comportamente interzise

  • exfiltrarea de baze de date, transcripts, recordings, facturi, token-uri sau alte date ale clienților;
  • crearea de conturi multiple pentru a ocoli trial, quota, billing limits sau rate limits;
  • forțarea de plăți reale, charge-uri, apeluri sau mesaje reale către terți fără acord;
  • scanări masive, fuzzing agresiv, request floods, DoS/DDoS;
  • publicarea vulnerabilității înainte de coordonare rezonabilă;
  • șantaj, solicitări agresive de plată, amenințări sau condiționarea tăcerii.

13. Contact

Contact pentru raportări de securitate și clarificări privind această politică:
office@tech-world.ro

Pentru cadrul general vezi și: Securitate, Confidențialitate, AUP și Termeni.