Bezpieczeństwo — Odpowiedzialne ujawnianie

• medova.health
• API routes at medova.health
• Aplikacja Next.js (frontend + trasy API)
• Supabase REST API (endpointy anon-key)

Poza zakresem

• Infrastruktura hostingowa Hetzner (zarządzana przez dostawcę)
• Usługi third-party (Supabase cloud, Stripe, Google Maps)
• Ataki DoS / DDoS
• Inżynieria społeczna
• Bezpieczeństwo fizyczne

• NIE niszcz danych produkcyjnych
• NIE atakuj dostępności (DoS/DDoS)
• NIE uzyskuj dostępu do kont innych użytkowników bez ich zgody
• Testuj wyłącznie na swoim koncie testowym
• Zgłoś znaleziska na [email protected] przed publicznym ujawnieniem

• SQL Injection, XSS (stored/reflected), CSRF
• Obejście uwierzytelniania, eskalacja uprawnień
• Insecure Direct Object Reference (IDOR)
• Ujawnione sekrety / klucze API w frontendzie
• Źle skonfigurowany CORS, brakujące nagłówki bezpieczeństwa
• Obejście rate limitingu
• Otwarte przekierowania

Medova jest projektem pre-revenue. Oferujemy:

• Publiczny Hall of Fame na stronie (imię/nick + opis znaleziska)
• Rekomendacja LinkedIn od CEO (dla znaczących znalezisk)
• Referencja do portfolio badacza
• Wideorozmowa: sesja Q&A o architekturze
• Dla krytycznych CVE: długoterminowe uznanie jako security contributor

1. Wyślij raport na [email protected]
2. Potwierdzenie odbioru w ciągu 48 godzin
3. Ocena severity i weryfikacja w ciągu 7 dni
4. Naprawa i informacja zwrotna w ciągu 30 dni (Critical/P0: 7 dni)
5. Uznanie w Hall of Fame po wdrożeniu naprawy