Bezpieczeństwo i zaufanie
Ostatnia aktualizacja: 17 czerwca 2026
Bezpieczeństwo użytkowników, twórców i ich danych jest dla nas priorytetem. Na tej stronie opisujemy, jak zgłaszać podatności oraz jakie praktyki bezpieczeństwa stosujemy w serwisie LookCam.
1. Zgłaszanie podatności (VDP)
Jeśli odkryłeś podatność lub problem bezpieczeństwa, prosimy o odpowiedzialne zgłoszenie go na adres [email protected]. Maszynowo czytelną wersję tej polityki znajdziesz w pliku /.well-known/security.txt.
2. Zakres
Polityka obejmuje serwis LookCam, jego publiczne API oraz aplikacje klienckie (web i mobilne). Poza zakresem pozostają m.in.: ataki socjotechniczne na pracowników i użytkowników, ataki fizyczne, wolumetryczne ataki DoS/DDoS, spam oraz podatności w usługach osób trzecich, nad którymi nie sprawujemy kontroli. Prosimy o testowanie wyłącznie na kontach należących do Ciebie i o nieingerowanie w dane innych użytkowników.
3. Bezpieczna przystań (safe harbor)
Działania prowadzone w dobrej wierze, zgodne z tą polityką i z poszanowaniem prywatności innych osób, traktujemy jako autoryzowane. Nie będziemy podejmować kroków prawnych wobec badaczy, którzy działają zgodnie z zasadami i niezwłocznie zgłaszają znaleziska, dając nam rozsądny czas na ich usunięcie przed publicznym ujawnieniem.
4. Czas reakcji
Potwierdzamy otrzymanie zgłoszenia w ciągu 3 dni roboczych, przedstawiamy wstępną ocenę w ciągu 10 dni roboczych i informujemy o postępie prac do czasu usunięcia podatności. Prosimy o nieujawnianie szczegółów publicznie do momentu wdrożenia poprawki.
5. Nasze praktyki bezpieczeństwa
Stosujemy m.in.:
- szyfrowanie danych w tranzycie (TLS) oraz spoczynku (at-rest);
- uwierzytelnianie dwuskładnikowe (2FA) dla kont;
- rotację tokenów odświeżających wraz z wykrywaniem kradzieży tokenów (token theft detection);
- regularne, szyfrowane kopie zapasowe;
- zasadę najmniejszych uprawnień i segmentację dostępu do systemów.
6. Program bug bounty
Prowadzimy samodzielnie zarządzany program nagród za zgłoszenia podatności. Nagrody są uznaniowe i ustalane indywidualnie na podstawie wagi (severity), jakości zgłoszenia oraz realnego wpływu. Poniższe widełki mają charakter orientacyjny:
| Waga | Nagroda | Przykłady |
|---|---|---|
| Krytyczna | €500 – €2 000 | RCE, masowy wyciek danych, przejęcie konta bez interakcji, SQL injection |
| Wysoka | €200 – €500 | obejście uwierzytelniania, IDOR z dostępem do cudzych danych, SSRF, eskalacja uprawnień |
| Średnia | €50 – €200 | stored XSS, CSRF o istotnym skutku, wyciek wrażliwych danych konfiguracyjnych |
| Niska / informacyjna | podziękowania + Hall of Fame | drobne problemy bez realnego wpływu, braki utwardzenia (hardening) |
Co się kwalifikuje
Wykonanie kodu (RCE), SQL injection, obejście uwierzytelniania/autoryzacji, IDOR, XSS, SSRF, eskalacja uprawnień oraz wyciek danych wrażliwych — z działającym dowodem (PoC).
Co się nie kwalifikuje
- same braki nagłówków bezpieczeństwa lub limitów bez wykazanego skutku;
- self-XSS, clickjacking na stronach bez wrażliwych akcji;
- ataki DoS/DDoS, socjotechnika, ataki fizyczne;
- raporty z automatycznych skanerów bez weryfikacji i PoC;
- podatności w usługach osób trzecich poza naszą kontrolą.
Zasady
- nagradzamy pierwsze zgłoszenie danej przyczyny źródłowej (jedna nagroda na problem);
- testuj wyłącznie na własnych kontach i nie naruszaj danych innych osób;
- decyzję o nagrodzie podejmujemy po walidacji i wdrożeniu poprawki; obowiązuje bezpieczna przystań z sekcji 3.
- prosimy o nieujawnianie szczegółów publicznie do czasu wydania poprawki.
Zgłoszenia wysyłaj na [email protected] (opcjonalnie z kluczem PGP — dostępny na żądanie).
7. Zaufanie i zgodność
Działamy zgodnie z RODO/ePrivacy oraz unijnym aktem o usługach cyfrowych (DSA). Szczegóły:
- Lista subprocesorów i DPA — z kim i w jakim celu przetwarzamy dane;
- Zgodność z DSA — punkt kontaktowy i zgłaszanie nielegalnych treści;
- Raport przejrzystości — statystyki moderacji i żądań;
- Status usługi — bieżąca dostępność i historia incydentów;
- Polityka prywatności — pełny opis przetwarzania danych.
8. Podziękowania (Hall of Fame)
Dziękujemy badaczom, którzy odpowiedzialnie zgłosili podatności i pomogli nam chronić użytkowników. Lista nazwisk pojawi się tutaj po pierwszych potwierdzonych zgłoszeniach — jeśli chcesz zostać wymieniony, zaznacz to w zgłoszeniu.
9. Kontakt
Sprawy bezpieczeństwa: [email protected]. Pozostałe sprawy: [email protected]. Zasady przetwarzania danych opisuje Polityka Prywatności.