Aller au contenu
eBooklify

Security disclosure policy

Politique de divulgation responsable des vulnérabilités — eBooklify

📬 Reporter une vulnérabilité

Si vous avez identifié une vulnérabilité de sécurité dans eBooklify (site web, API, infrastructure Cloudflare, ou l'application mobile Android), nous vous remercions de nous la signaler de manière responsable.

Email : contact@math4child.com

Langues : Français, English

security.txt /.well-known/security.txt (RFC 9116)

⏱️ Engagement de réponse

  • Accusé de réception : 72 heures
  • Triage initial + sévérité : 5 jours ouvrés
  • Correctif déployé : selon sévérité (critique < 7j, high < 30j)
  • Crédit dans le Hall of Fame ci-dessous (sauf demande contraire)

✅ Périmètre dans le scope

  • www.ebooklify.com et tous ses sous-domaines
  • API /api/*
  • Endpoints admin /api/admin/*
  • Programme affiliation /affiliates/*
  • Application mobile Android (Google Play)

❌ Hors scope

  • Attaques par déni de service (DoS / DDoS volumétriques)
  • Ingénierie sociale du personnel
  • Vulnérabilités de tiers (Cloudflare, Brevo, Amazon, Apple, Kobo, 1TPE, ClickBank) — à reporter directement à eux
  • Self-XSS (nécessite l'utilisateur copie-colle son propre payload)
  • Manque d'en-têtes HTTP sans démonstration d'impact exploitable
  • Versions d'outillage dev (ESLint, Next.js minor) sans PoC d'exploitation runtime

🤝 Engagement mutuel (safe harbour)

Nous nous engageons à :

  • Ne pas engager de poursuites légales contre les chercheurs qui respectent cette politique
  • Communiquer de manière transparente sur l'état du triage
  • Créditer publiquement (sauf demande contraire)

Nous vous demandons :

  • De respecter un délai raisonnable de correctif avant toute divulgation publique (90 jours par défaut)
  • De ne pas exploiter la vulnérabilité au-delà de la preuve de concept minimale
  • De ne pas accéder, modifier ou supprimer les données d'autres utilisateurs

💰 Programme de bounty

eBooklify n'a pas encore de programme de bounty financier formel (projet bootstrap, revenus affiliés en cours de démarrage). Une fois les revenus consolidés, un bounty indicatif sera annoncé sur cette page. En attendant, les chercheurs sont remerciés publiquement et inscrits au Hall of Fame.

🏆 Hall of Fame

La liste sera publiée ici dès le premier rapport reçu. Soyez le premier !

Dernière mise à jour : 2026-05-20 — création initiale (RFC 9116 + CLAUDE.md §8).