Vaulted

Programa de recompensas y divulgación responsable

Damos la bienvenida al escrutinio. Encuentra un problema de seguridad real y obtén crédito público y una mención permanente en el Salón de la Fama.

Política actualizada por última vez el 2026-04-27 · Maxim Novak

La propuesta honesta

Vaulted es una herramienta gratuita creada de forma independiente. Todavía no pagamos recompensas en efectivo; fingir lo contrario sería engañoso. En su lugar, los informes válidos reciben un acuse de recibo rápido, crédito público en esta página, la asignación de un CVE cuando proceda y nuestro agradecimiento sincero. Si buscas recompensas pagadas, este no es tu sitio. Si te importa que las herramientas con cifrado de extremo a extremo hagan lo que prometen, por favor, indaga.

Qué obtienes por un informe válido

  • Acuse de recibo en 48 horas. Una persona real, una respuesta real.
  • Mención permanente en el Salón de la Fama en esta página con tu nombre (o alias), la fecha y una breve descripción del problema una vez corregido y divulgado.
  • Coordinación de CVE si el hallazgo lo justifica: trabajaremos contigo en la reserva y los tiempos de publicación.
  • Divulgación coordinada en un calendario que te convenga. Primero corregimos y luego publicamos los detalles con atribución.
  • Una nota de agradecimiento sincera de una persona real. Si más adelante se habilitan recompensas en efectivo, se considerarán de forma justa pagos retroactivos a investigadores anteriores.

Dentro del alcance

Implementación criptográfica

Cualquier fallo en el AES-256-GCM del lado del cliente, la generación de claves, la reutilización de IV, el manejo del fragmento de la URL o el envoltorio de la frase de contraseña. La criptografía es el producto: los fallos aquí son los informes de máxima prioridad.

Elusión de autenticación / autorización

Leer o modificar secretos sin el ID y la clave correctos. Eludir los límites de vistas, la expiración o las solicitudes de frase de contraseña.

Exposición de datos

Filtración del lado del servidor de texto plano, claves, IV en lugares inesperados, texto cifrado, contadores de vistas, direcciones IP o cualquier otro dato que no debería ser observable.

Vulnerabilidades del lado del servidor

Fallos en los manejadores de rutas de la API, elusión del límite de tasa, inyección, problemas de deserialización, SSRF, contrabando de solicitudes del lado del servidor.

Configuración incorrecta de la infraestructura

Cualquier cosa en el despliegue de producción de vaulted.fyi que exponga datos o socave el modelo de seguridad.

Integridad de la cadena de suministro

Artefactos de compilación comprometidos o manipulados, SRI ausente donde importa, ataques de confusión de dependencias contra nuestros paquetes npm publicados.

Fuera del alcance

Ataques volumétricos o de denegación de servicio

No intentes tumbar el sitio. Los fallos de elusión del límite de tasa están dentro del alcance; la inundación no.

Spam / abuso de la creación de secretos

Generar grandes cantidades de secretos no es una vulnerabilidad.

Ingeniería social

Hacia el personal, los colaboradores o los usuarios. Hacer phishing al buzón de seguridad no cuenta.

Vulnerabilidades en servicios de terceros

Los problemas en Vercel, Upstash, Cloudflare, etc. deben reportarse a sus respectivos proveedores. Estaremos encantados de coordinarnos si el problema afecta específicamente a Vaulted.

Problemas que requieren un endpoint comprometido

Un navegador comprometido, una extensión maliciosa o un keylogger en el dispositivo del usuario están reconocidos en nuestro modelo de amenazas: consulta el modelo de amenazas. No son vulnerabilidades de Vaulted.

Hallazgos de buenas prácticas sin impacto

«Falta la cabecera X» o «el atributo de cookie Y» sin un impacto de seguridad demostrado. Cuéntanoslo igualmente —puede que lo corrijamos—, pero no calificará para el Salón de la Fama.

Reglas de participación

  • Prueba solo con secretos que crees tú mismo. No accedas ni intentes acceder a los datos de otros usuarios.
  • Detente e informa al primer indicio de una vulnerabilidad. No pivotes, exfiltres, persistas ni escales.
  • No publiques los detalles hasta que hayamos tenido una oportunidad razonable de corregir el problema: normalmente 90 días, aunque procuramos ir más rápido.
  • El escaneo automatizado está bien dentro de límites de tasa razonables. Si tu herramienta genera un tráfico significativo, modérala.
  • Pruebas contra producción bajo tu propio riesgo. No emprenderemos acciones contra la investigación de buena fe que siga estas reglas.

Proceso y plazos

  1. Tú informas a través de [email protected]. El correo cifrado es bienvenido.
  2. Acusamos recibo en 48 horas y asignamos una referencia de seguimiento.
  3. Triaje en 5 días — confirmamos si el hallazgo está dentro del alcance y es reproducible.
  4. Corrección y despliegue en un plazo proporcional a la gravedad (horas para los críticos, días para los altos, semanas para los menores).
  5. Divulgación coordinada con atribución hacia ti, más la entrada en el Salón de la Fama.

Salón de la Fama

  • Esrak Fardin Ratul (zer0rat)

    View-limit race condition (TOCTOU): a maxViews=1 secret could be read more than once under concurrent requests. Fixed by making the view-limit claim atomic.

¿Listo para informar o tienes una pregunta?

[email protected]

Consulta también: modelo de amenazas · verifica Vaulted tú mismo · security.txt