Правовая информация

Сообщение об уязвимостях безопасности — gro.now

Обновлено: 26 мая 2026 г.

Мы серьезно относимся к безопасности платформы gro.now и доверенных нам данных. Если вы считаете, что обнаружили уязвимость безопасности в gro.now или связанной инфраструктуре ТОО «Pwron», мы просим сообщить о ней нам напрямую, чтобы мы могли её рассмотреть и устранить.

Как сообщить

Направьте сообщение на адрес security@gro.now.

Полезное сообщение содержит:

  • понятное описание уязвимости;
  • затронутый адрес, эндпойнт или компонент;
  • шаги воспроизведения (proof of concept) — в минимально необходимом объёме для подтверждения проблемы;
  • предполагаемое потенциальное воздействие;
  • ваши контактные данные для обратной связи.

Что вы можете ожидать от нас

  • Мы подтвердим получение сообщения — как правило, в течение одного рабочего дня.
  • Мы рассмотрим сообщение и оценим воздействие и критичность.
  • Мы будем разумно информировать вас о статусе по нашему усмотрению.
  • Мы не будем предъявлять претензий добросовестным исследователям, соблюдающим настоящие правила.

Что мы просим у вас

  • Не получать доступ к данным пользователей, не изменять и не удалять их сверх минимально необходимого для демонстрации уязвимости.
  • Не нарушать работоспособность платформы, действия её пользователей и её доступность.
  • Не раскрывать уязвимость публично до того, как у нас будет разумная возможность её устранить.
  • Не использовать автоматическое сканирование, которое существенно влияет на производительность платформы.

Что не входит в область настоящих правил

Следующее, как правило, не входит в область или считается низкорискованным и может не быть приоритетным:

  • тестирование отказа в обслуживании (DoS);
  • социальная инженерия в отношении сотрудников, подрядчиков и пользователей Pwron;
  • тестирование физической безопасности;
  • сообщения от автоматических сканеров без ручной валидации;
  • отсутствие отдельных «лучших практик» в заголовках без подтверждённого воздействия;
  • уязвимости устаревших браузеров или операционных систем, поддержка которых прекращена их производителями.

Что мы не предлагаем

В настоящее время у нас не действует программа платных вознаграждений (bug bounty). Мы не выплачиваем денежные вознаграждения за сообщения об уязвимостях. По нашему усмотрению и с вашего согласия мы можем публично отметить ваш вклад.

Координированное раскрытие

Мы придерживаемся принципа координированного раскрытия. Мы просим исследователей предоставить нам разумный срок для устранения сообщённой уязвимости до её публичного раскрытия. Мы готовы согласовать сроки раскрытия совместно с вами.

Правовая оговорка

Настоящая страница носит информационный характер и не создаёт договорных или иных правовых обязательств между вами и ТОО «Pwron». Мы оставляем за собой право время от времени обновлять её содержание.

Контакт: security@gro.now