সিকিউরিটি ও রেসপনসিবল ডিসক্লোজার
আমরা সিকিউরিটিকে গুরুত্ব দিই। কোনো দুর্বলতা খুঁজে পেলে নিচের প্রক্রিয়া অনুসরণ করে ব্যক্তিগতভাবে জানান — এই নীতি মেনে সৎ উদ্দেশ্যে গবেষণা করলে কোনো আইনি ব্যবস্থা নেওয়া হবে না।
স্কোপের মধ্যে
- jantrobazar.com ও সব সাবডোমেইন
- যন্ত্র বাজার মোবাইল ওয়েব অ্যাপ
- jantrobazar.com-এর অধীন API
স্কোপের বাইরে
- Denial of Service (DoS / DDoS) আক্রমণ
- স্টাফ, বিক্রেতা বা ক্রেতার উপর সোশ্যাল ইঞ্জিনিয়ারিং
- অফিস বা ওয়্যারহাউসে শারীরিক আক্রমণ
- প্রভাব প্রমাণ ছাড়া অটোমেটেড স্ক্যানারের রিপোর্ট
- কার্যকর এক্সপ্লয়েট ছাড়া best-practice হেডার অনুপস্থিতি
নিরাপদ আশ্রয় (Safe harbour)
যদি আপনি (১) গোপনীয়তা লঙ্ঘন, ডেটা ধ্বংস ও সেবা বিঘ্ন এড়াতে সৎ চেষ্টা করেন; (২) কেবল নিজের বা অনুমতিপ্রাপ্ত অ্যাকাউন্টেই পরীক্ষা করেন; এবং (৩) পাবলিক প্রকাশের আগে সমস্যা সমাধানের যৌক্তিক সময় দেন — তাহলে আপনার বিরুদ্ধে কোনো আইনি ব্যবস্থা নেওয়া হবে না।
কীভাবে রিপোর্ট করবেন
ইমেইল করুন security@jantrobazar.com — নিচের তথ্যসহ:
- সমস্যার স্পষ্ট বিবরণ ও এর প্রভাব
- ধাপে ধাপে reproduction (URL, payload, স্ক্রিনশট)
- ক্রেডিট চাইলে আপনার নাম বা handle
PGP এনক্রিপশন প্রয়োজন হলে প্রথম ইমেইলে অনুরোধ করুন।
আপনি কী পাবেন
- ৩ কার্যদিবসের মধ্যে প্রাপ্তি স্বীকার।
- ১০ কার্যদিবসের মধ্যে প্রাথমিক triage ও সিভিয়ারিটি মূল্যায়ন।
- সমস্যা সমাধান না হওয়া পর্যন্ত স্ট্যাটাস আপডেট।
- ফিক্স রিলিজ হলে researcher hall-of-fame-এ পাবলিক ক্রেডিট (আপনি চাইলে)।
বর্তমানে কোনো paid bug-bounty প্রোগ্রাম নেই। ভবিষ্যতে চালু হলে সবার আগে এখানেই ঘোষণা করা হবে।