andaaa
EN MN
Security · Last updated: 2026.05.12

Security & responsible disclosure

We take the security of Andaa and our users' data seriously. If you've found a vulnerability — thank you. Please report it through one of the channels below.

How to report

Email [email protected]

Include enough detail to reproduce: affected endpoint, payload, expected vs actual behavior. Screenshots/PoC welcome. We respond within 7 days.

In scope

  • andaaa.com and all subdomains
  • Cloud Run API endpoints (bilig-bot-*.run.app)
  • Andaa Messenger bot
  • Future Andaa mobile app (iOS / Android)

Out of scope

  • Meta / Facebook Messenger platform vulnerabilities (report to Meta directly)
  • Google Cloud / Cloudflare infrastructure issues (report to the providers)
  • Social engineering of staff or users
  • Denial of service / volumetric attacks
  • Issues that require physical access to a user's device
  • Self-XSS that requires the victim to paste into their own console

Our commitment

  • We won't pursue legal action against good-faith security research that follows this policy.
  • We'll acknowledge your report within 7 days and update you regularly.
  • If you wish to be credited, we'll add you to a public "Security thanks" list once the issue is fixed.
  • For high-severity findings (Critical or High), we may offer a thank-you gift; we're not yet running a formal paid bug bounty.

Coordinated disclosure

Please give us at least 90 days to fix and patch before public disclosure. If you believe the issue is being actively exploited, contact us immediately and we'll prioritize.

Аюулгүй байдал · Шинэчилсэн: 2026.05.12

Аюулгүй байдал ба хариуцлагатай дуулгал

Andaa болон хэрэглэгчдийнхээ өгөгдлийн аюулгүй байдалд бид нухацтай ханддаг. Хэрэв та эмзэг газар олвол — баярлалаа. Доорхи сувгаар бидэнтэй холбогдоорой.

Хэрхэн дуулгах вэ

Имэйл [email protected]

Дахин үүсгэх боломжтой эсэхийг шалгах хангалттай мэдээлэл оруулна уу: ямар endpoint, ямар payload, хүлээгдэж буй болон бодит хариу. Зураг/PoC ч ачих болно. 7 хоногийн дотор хариулна.

Шалгахаас үл зайлсхийх (in-scope)

  • andaaa.com ба бүх subdomain
  • Cloud Run API endpoint (bilig-bot-*.run.app)
  • Andaa Messenger bot
  • Ирээдүйд гарах Andaa гар утасны апп (iOS / Android)

Хамаарахгүй (out-of-scope)

  • Meta / Facebook Messenger платформын эмзэг газрууд (Meta-руу шууд дуулгана)
  • Google Cloud / Cloudflare-ийн дэд бүтцийн асуудлууд
  • Ажилтан эсвэл хэрэглэгчийг хууран мэхлэх (social engineering)
  • Үйлчилгээ зогсоох (DDoS, volumetric attack)
  • Хэрэглэгчийн төхөөрөмж рүү биеэр хандах шаардлагатай асуудал
  • Хэрэглэгч өөрөө console-руу код буулгахыг шаардсан Self-XSS

Бидний амлалт

  • Энэ бодлогын дагуу хийсэн сайн санааны судалгаанд бид хууль зүйн арга хэмжээ авахгүй.
  • Таны дуулгасныг 7 хоногийн дотор хүлээн зөвшөөрөх, тогтмол мэдэгдэл өгөх.
  • Хүсэлтэд тань зөвшөөрвөл — асуудал засагдсаны дараа "Security thanks" жагсаалтад нэрийг тань нэмнэ.
  • Critical эсвэл High түвшний олдвор гаргавал — талархлын бэлэг өгч болзошгүй. Бид одоогоор албан ёсны мөнгөн bug bounty явуулдаггүй.

Хамтарсан дуулгал

Олон нийтэд мэдэгдэхээс өмнө 90 хоног засах хугацаа өгнө үү. Хэрэв уг асуудал идэвхтэй ашиглагдаж байна гэж бодвол шууд хариулна уу — бид нэн тэргүүнд ажиллана.