Skip to main content

সিকিউরিটি ও রেসপনসিবল ডিসক্লোজার

আমরা সিকিউরিটিকে গুরুত্ব দিই। কোনো দুর্বলতা খুঁজে পেলে নিচের প্রক্রিয়া অনুসরণ করে ব্যক্তিগতভাবে জানান — এই নীতি মেনে সৎ উদ্দেশ্যে গবেষণা করলে কোনো আইনি ব্যবস্থা নেওয়া হবে না।

স্কোপের মধ্যে

  • jantrobazar.com ও সব সাবডোমেইন
  • যন্ত্র বাজার মোবাইল ওয়েব অ্যাপ
  • jantrobazar.com-এর অধীন API

স্কোপের বাইরে

  • Denial of Service (DoS / DDoS) আক্রমণ
  • স্টাফ, বিক্রেতা বা ক্রেতার উপর সোশ্যাল ইঞ্জিনিয়ারিং
  • অফিস বা ওয়্যারহাউসে শারীরিক আক্রমণ
  • প্রভাব প্রমাণ ছাড়া অটোমেটেড স্ক্যানারের রিপোর্ট
  • কার্যকর এক্সপ্লয়েট ছাড়া best-practice হেডার অনুপস্থিতি

নিরাপদ আশ্রয় (Safe harbour)

যদি আপনি (১) গোপনীয়তা লঙ্ঘন, ডেটা ধ্বংস ও সেবা বিঘ্ন এড়াতে সৎ চেষ্টা করেন; (২) কেবল নিজের বা অনুমতিপ্রাপ্ত অ্যাকাউন্টেই পরীক্ষা করেন; এবং (৩) পাবলিক প্রকাশের আগে সমস্যা সমাধানের যৌক্তিক সময় দেন — তাহলে আপনার বিরুদ্ধে কোনো আইনি ব্যবস্থা নেওয়া হবে না।

কীভাবে রিপোর্ট করবেন

ইমেইল করুন security@jantrobazar.com — নিচের তথ্যসহ:

  • সমস্যার স্পষ্ট বিবরণ ও এর প্রভাব
  • ধাপে ধাপে reproduction (URL, payload, স্ক্রিনশট)
  • ক্রেডিট চাইলে আপনার নাম বা handle

PGP এনক্রিপশন প্রয়োজন হলে প্রথম ইমেইলে অনুরোধ করুন।

আপনি কী পাবেন

  • ৩ কার্যদিবসের মধ্যে প্রাপ্তি স্বীকার।
  • ১০ কার্যদিবসের মধ্যে প্রাথমিক triage ও সিভিয়ারিটি মূল্যায়ন।
  • সমস্যা সমাধান না হওয়া পর্যন্ত স্ট্যাটাস আপডেট।
  • ফিক্স রিলিজ হলে researcher hall-of-fame-এ পাবলিক ক্রেডিট (আপনি চাইলে)।

বর্তমানে কোনো paid bug-bounty প্রোগ্রাম নেই। ভবিষ্যতে চালু হলে সবার আগে এখানেই ঘোষণা করা হবে।