Pengungkapan Bertanggung Jawab

Cara Melaporkan

Jika Anda menemukan kerentanan keamanan pada sistem yang dioperasikan oleh Warpstar, laporkan kepada kami melalui email di security@warpstar.id. Untuk membantu kami melakukan triase dan mereproduksi masalah secara efisien, laporan Anda sebaiknya menyertakan:

1. Deskripsi jelas tentang kerentanan dan komponen atau URL yang terdampak. 2. Langkah-langkah reproduksi masalah secara rinci. 3. Potensi dampak atau risiko bisnis sesuai penilaian Anda. 4. Kode proof of concept (PoC), tangkapan layar, atau rekaman permintaan/respons yang mendukung temuan Anda. 5. Metode kontak pilihan Anda untuk tindak lanjut.

Harap jangan mengirimkan laporan kerentanan melalui formulir kontak umum atau saluran media sosial kami.

Safe Harbor

Kami tidak akan mengambil tindakan hukum terhadap peneliti keamanan yang menemukan dan melaporkan kerentanan dengan itikad baik sesuai kebijakan ini. Kami menganggap penelitian dengan itikad baik mencakup: hanya mengakses data yang diperlukan untuk mendemonstrasikan kerentanan; tidak mengubah atau menghapus data milik pengguna lain; tidak menurunkan ketersediaan layanan kami; serta mengungkapkan kepada kami sebelum mempublikasikan kerentanan tersebut.

Safe harbor ini hanya berlaku untuk aktivitas yang mematuhi kebijakan ini. Ia tidak mencakup eksploitasi berbahaya, eksfiltrasi data, atau aktivitas yang berada di luar cakupan yang ditetapkan di bawah ini.

Cakupan (Scope)

Dalam cakupan (in scope): situs web utama Warpstar (warpstar.id) dan semua subdomain yang dioperasikan oleh Warpstar (misalnya www.warpstar.id, endpoint API apa pun, antarmuka admin).

Di luar cakupan (out of scope): layanan dan infrastruktur pihak ketiga yang kami andalkan namun tidak kami kendalikan, termasuk Cloudflare (CDN, D1, Pages, Turnstile), Resend, registrar domain, dan penyedia hosting. Kerentanan pada layanan-layanan tersebut sebaiknya dilaporkan langsung ke tim keamanan masing-masing.

Juga di luar cakupan: serangan social engineering yang menargetkan personel Warpstar; serangan keamanan fisik; serangan denial-of-service (DoS) atau serangan volumetrik; pemindaian otomatis yang menurunkan performa layanan; dan serangan yang memerlukan akses fisik ke perangkat pengguna.

Panduan bagi Peneliti

Harap ikuti panduan berikut agar penelitian Anda tetap berada dalam perlindungan safe harbor:

Jangan mengakses, mengubah, atau mengeksfiltrasi data milik pengguna lain — gunakan hanya akun uji coba atau data yang Anda buat sendiri. Jangan melakukan tindakan yang melampaui apa yang diperlukan untuk mendemonstrasikan kerentanan. Berikan kami waktu yang wajar untuk menyelidiki dan memperbaiki masalah sebelum pengungkapan publik apa pun (kami meminta setidaknya 90 hari, tetapi kami bersedia bernegosiasi jika jadwal yang lebih singkat atau lebih panjang diperlukan). Jangan memeras atau menuntut pembayaran sebagai imbalan atas detail kerentanan atau untuk menahan pengungkapan.

Komitmen Kami

Ketika Anda mengirimkan laporan sesuai kebijakan ini, kami berkomitmen untuk: mengakui penerimaan laporan Anda dalam lima hari kerja; memberikan penilaian awal tentang tingkat keparahan dan cakupan yang terdampak dalam sepuluh hari kerja; memberi tahu Anda tentang perkembangan material menuju perbaikan; serta memberi tahu Anda ketika kerentanan telah diselesaikan.

Saat ini kami tidak menjalankan program bug bounty dan tidak dapat menawarkan imbalan finansial atas laporan. Kami sangat berterima kasih atas responsible disclosure dan akan mengakui kontribusi peneliti (dengan persetujuan mereka) dalam advisory publik yang kami keluarkan.

Ada pertanyaan tentang kebijakan ini? Hubungi kami di security@warpstar.id.