Crate.tf

Crate.tf

Polityka odpowiedzialnego zgłaszania podatności

Data wejścia w życie: 28 stycznia 2026

Informacja o tłumaczeniu

To tłumaczenie jest udostępniane dla wygody. W przypadku konfliktu lub różnicy znaczenia rozstrzygająca jest wersja angielska.

Crate.tf („my”, „nas”, „nasze”) dba o bezpieczeństwo użytkowników i Usługi. Jeśli znajdziesz podatność bezpieczeństwa, doceniamy odpowiedzialne zgłoszenie w dobrej wierze, abyśmy mogli ją naprawić.

Ta polityka opisuje, jak zgłaszać podatności oraz czego oczekujemy podczas testowania.

1) Zakres

Ta polityka dotyczy podatności bezpieczeństwa wpływających na:

  • Crate.tf, w tym stronę, API, endpointy i usługi backendowe
  • infrastrukturę Crate.tf bezpośrednio wspierającą Usługę
  • orkiestrację wymian Crate.tf, w tym planowanie transakcji i logikę rezerwacji
  • integrację botów należących do Crate.tf w zakresie udostępnionym przez naszą Usługę, nie sam Steam

Poza zakresem (przykłady):

  • podatności w systemach Steam/Valve albo kliencie Steam
  • problemy w usługach zewnętrznych, których nie kontrolujemy; zgłoś je właściwemu dostawcy
  • socjotechnika wymierzona w użytkowników lub zespół
  • ataki fizyczne, ataki na centra danych albo przejęcie urządzeń
  • „podatności” wymagające użycia prawidłowych danych dostępowych, które nie należą do ciebie
  • spam, self-XSS albo czysto teoretyczne problemy bez możliwego do wykazania wpływu na bezpieczeństwo

Jeśli nie masz pewności, czy problem mieści się w zakresie, zgłoś go mimo wszystko; odpowiemy.

2) Jak zgłosić podatność

Zgłaszaj problemy tutaj:

  • Email: support@crate.tf
  • Temat: Security report: krótki opis

Jeśli email nie jest możliwy, możesz skontaktować się z nami przez oficjalny kanał wsparcia na Discordzie, ale wrażliwe szczegóły najlepiej przekazać emailem.

Podaj tyle informacji, ile możesz:

  • jasny opis problemu i wyjaśnienie, dlaczego jest istotny
  • kroki odtworzenia, najlepiej z bezpiecznym proof-of-concept
  • dotknięte adresy URL lub endpointy, parametry oraz istotne przykłady żądań i odpowiedzi
  • ocenę wpływu, czyli co mógłby zrobić atakujący
  • zrzuty ekranu lub logi, jeśli są pomocne
  • preferowany kontakt oraz informację, czy chcesz otrzymać publiczne podziękowanie

3) Safe harbor dla badań bezpieczeństwa w dobrej wierze

Nie będziemy podejmować działań prawnych wobec osób prowadzących odpowiedzialne badania bezpieczeństwa w dobrej wierze zgodnie z tą polityką.

Aby kwalifikować się do safe harbor, musisz:

  • działać w dobrej wierze i unikać naruszeń prywatności, niszczenia danych oraz zakłócania Usługi
  • przerwać testy i zgłosić problem niezwłocznie po potwierdzeniu podatności
  • nie używać podatności do uzyskania nieuczciwej przewagi, w tym przedmiotów, ani do wyrządzania szkody innym
  • nie ujawniać publicznie szczegółów, zanim będziemy mieli rozsądną możliwość naprawy

Safe harbor nie dotyczy:

  • działań mających na celu wymuszenie, groźby albo szantaż
  • prób dostępu do danych, które nie należą do ciebie, lub ich modyfikacji
  • testów, które pogarszają, zakłócają albo blokują Usługę dla użytkowników
  • testów wymierzonych w systemy stron trzecich, takich jak Steam/Valve, albo naruszających ich zasady

4) Czego prosimy NIE robić

Aby chronić użytkowników i Usługę, prosimy nie:

  • uzyskiwać, pobierać ani ujawniać danych osobowych lub danych innych użytkowników
  • przechwytywać ani modyfikować transakcji innych użytkowników
  • wykorzystywać podatności do zdobycia przedmiotów TF2, kluczy albo jakiejkolwiek przewagi
  • prowadzić automatycznego skanowania, brute force, credential stuffing ani testów typu denial-of-service
  • używać botów lub skryptów do przeciążania endpointów, statusu albo endpointów cen i katalogu
  • publicznie ujawniać podatności, zanim je potwierdzimy i naprawimy
  • stosować socjotechniki wobec zespołu lub użytkowników ani próbować uzyskać uprzywilejowanego dostępu

5) Zasady testowania: co jest dozwolone

Za akceptowalne w dobrej wierze zwykle uznajemy:

  • testowanie na własnym koncie i własnych danych
  • minimalne demonstracje proof-of-concept pokazujące wpływ bez szkody dla innych
  • zgłaszanie problemów z wystarczającymi szczegółami, abyśmy mogli je odtworzyć i naprawić

Jeśli potrzebujesz konta testowego albo chcesz skoordynować kontrolowany test, skontaktuj się z nami wcześniej.

6) Nasz proces i odpowiedź

Naszym celem jest:

  • potwierdzenie otrzymania zgłoszenia w rozsądnym czasie
  • zbadanie problemu i praca nad poprawką
  • przekazywanie aktualizacji statusu, gdy jest to praktyczne
  • publiczne podziękowanie, jeśli o nie poprosisz i będzie to właściwe (opcjonalnie)

Crate.tf jest małym projektem, więc terminy mogą się różnić. Podatności o dużym wpływie będą traktowane priorytetowo.

7) Poufność i publiczne ujawnienie

Zachowaj szczegóły podatności w poufności do czasu, gdy:

  • potwierdzimy, że problem został naprawiony, albo
  • powiemy, że możesz go ujawnić, albo
  • minie rozsądny czas bez naszej odpowiedzi; przed publikacją skontaktuj się z nami ponownie

Jeśli planujesz publikację, preferujemy skoordynowane ujawnienie z krótkim opisem wniosków i naprawy, bez szczegółów umożliwiających wykorzystanie podatności.

8) Brak programu bug bounty

Crate.tf nie prowadzi obecnie płatnego programu bug bounty. Możemy jednak według uznania zaoferować niematerialne podziękowanie, na przykład publiczne uznanie.

9) Kontakt

support@crate.tf (preferowane)

kanał wsparcia na Discordzie (pomocniczo)