Как Hey Mirra защищает данные и куда сообщать о проблемах безопасности.
Hey Mirra стремится строить безопасность по принципу разумной достаточности: защищённая передача данных, безопасное хранение учётных данных, ограничения частоты чувствительных запросов, контроль доступа к backend и регулярные резервные копии инфраструктуры.
Под защитой находятся учётные записи пользователей, сообщения, медиа, служебные идентификаторы, документы сервиса и инфраструктура backend. Для разных категорий данных могут применяться разные меры защиты и разные правила хранения.
На сервере используются HTTPS, хеширование паролей, JWT-подпись токенов доступа, rate limiting, security headers, ограничение размера запросов, раздельное хранение медиа, подтверждение номера телефона, двухфакторная защита и резервное копирование базы. Эти меры направлены на защиту от перебора паролей, автоматизированных атак, случайного раскрытия и части злоупотреблений.
Доступ к телефонной книге, фото и видео, камере и микрофону запрашивается только в соответствующих сценариях приложения. Эти разрешения не используются для фонового сбора данных: они нужны для поиска знакомых контактов, отправки медиа, записи фото, видео и голосовых сообщений.
Обычные и групповые чаты Hey Mirra в текущей версии сервиса не являются сквозно зашифрованными. Это означает, что сервер участвует в хранении и технической обработке сообщений, даже если передача и хранение данных защищены инфраструктурно.
Если вы нашли уязвимость, небезопасный сценарий или риск компрометации данных, пожалуйста, напишите на uri01062007@gmail.com. Дополнительно можно использовать https://heymirra.ru/support.
Для быстрого разбора полезно указать шаги воспроизведения, затронутые экраны или API, тип риска, ожидаемое и фактическое поведение, версию приложения и безопасное подтверждение проблемы без вреда для пользователей и инфраструктуры.
Не пытайтесь нарушать доступность сервиса, извлекать чужие данные, массово эксплуатировать уязвимость или использовать проблему против реальных пользователей. Цель security disclosure — безопасное уведомление и исправление, а не эксплуатация.
Мы стремимся подтверждать получение security-обращений в разумный срок и при необходимости давать обновления по статусу. Конкретный срок исправления зависит от серьёзности проблемы, сложности проверки и риска для пользователей.