Vaulted

Bug Bounty & Pengungkapan Bertanggung Jawab

Kami menyambut pengawasan kritis. Temukan masalah keamanan nyata, dapatkan kredit publik dan daftar Hall of Fame permanen.

Kebijakan terakhir diperbarui 2026-04-27 · Maxim Novak

Penawaran jujur

Vaulted adalah alat gratis yang dikembangkan secara independen. Kami belum membayar bounty tunai — mengklaim sebaliknya akan menyesatkan. Sebagai gantinya, laporan yang valid mendapat pengakuan cepat, kredit publik di halaman ini, penetapan CVE jika berlaku, dan terima kasih tulus kami. Jika kamu mencari bounty berbayar, ini bukan tempatmu. Jika kamu peduli bahwa alat terenkripsi end-to-end melakukan apa yang diklaim, silakan gali lebih dalam.

Apa yang kamu dapatkan untuk laporan yang valid

  • Pengakuan dalam 48 jam. Manusia nyata, balasan nyata.
  • Daftar Hall of Fame permanen di halaman ini dengan namamu (atau handle), tanggal, dan deskripsi singkat masalah setelah diperbaiki dan diungkapkan.
  • Koordinasi CVE jika temuan memang layak — kami akan bekerja sama denganmu untuk reservasi dan waktu publikasi.
  • Pengungkapan terkoordinasi dengan jadwal yang sesuai untukmu. Kami perbaiki dulu, lalu publikasikan detailnya dengan atribusi.
  • Ucapan terima kasih yang tulus dari orang nyata. Jika bounty tunai tersedia di kemudian hari, pembayaran retroaktif kepada peneliti sebelumnya akan dipertimbangkan secara adil.

Dalam ruang lingkup

Implementasi kriptografi

Setiap cacat dalam implementasi AES-256-GCM sisi klien, pembuatan kunci, penggunaan ulang IV, penanganan URL fragment, atau pembungkusan passphrase. Kriptografi adalah produknya — bug di sini adalah laporan prioritas tertinggi.

Bypass autentikasi / otorisasi

Membaca atau mengubah rahasia tanpa ID dan kunci yang benar. Mem-bypass batas tayang, kedaluwarsa, atau prompt passphrase.

Kebocoran data

Kebocoran sisi server berupa plaintext, kunci, IV di tempat yang tidak terduga, ciphertext, jumlah tayang, alamat IP, atau data lain yang seharusnya tidak dapat diamati.

Kerentanan sisi server

Bug pada handler rute API, bypass rate-limit, injection, masalah deserialisasi, SSRF, request smuggling sisi server.

Miskonfigurasi infrastruktur

Apa pun dalam deployment produksi vaulted.fyi yang mengekspos data atau merusak model keamanan.

Integritas supply chain

Artefak build yang dikompromi atau dimanipulasi, SRI yang hilang di tempat yang penting, serangan dependency-confusion terhadap paket npm yang kami publikasikan.

Di luar ruang lingkup

Serangan volumetrik atau denial-of-service

Jangan coba menjatuhkan situs. Bug bypass rate-limit masuk ruang lingkup; flooding tidak.

Spam / penyalahgunaan create-secret

Membuat sejumlah besar rahasia bukan merupakan kerentanan.

Social engineering

Terhadap staf, kontributor, atau pengguna. Phishing ke kotak masuk keamanan tidak dihitung.

Kerentanan pada layanan pihak ketiga

Masalah di Vercel, Upstash, Cloudflare, dll. harus dilaporkan ke upstream. Kami senang berkoordinasi jika masalah memang mempengaruhi Vaulted secara khusus.

Masalah yang memerlukan endpoint yang dikompromi

Browser yang dikompromi, ekstensi berbahaya, atau keylogger pada perangkat pengguna telah diakui dalam model ancaman kami — lihat model ancaman. Ini bukan kerentanan dalam Vaulted.

Temuan best-practice tanpa dampak

"Header X hilang" atau "atribut cookie Y" tanpa dampak keamanan yang terbukti. Tetap beri tahu kami — mungkin kami perbaiki — tetapi itu tidak memenuhi syarat untuk Hall of Fame.

Aturan keterlibatan

  • Uji hanya dengan rahasia yang kamu buat sendiri. Jangan mengakses atau mencoba mengakses data pengguna lain.
  • Berhenti dan laporkan pada tanda pertama kerentanan. Jangan melakukan pivot, eksfiltrasi, persistensi, atau eskalasi.
  • Jangan publikasikan detail sampai kami punya kesempatan yang wajar untuk memperbaiki — biasanya 90 hari, tetapi kami berusaha lebih cepat.
  • Pemindaian otomatis boleh dilakukan dalam batas rate yang wajar. Jika alatmu menghasilkan traffic yang signifikan, kurangi kecepatannya.
  • Uji terhadap produksi dengan risiko sendiri. Kami tidak akan mengambil tindakan terhadap penelitian beriktikad baik yang mengikuti aturan ini.

Proses & tenggat waktu

  1. Kamu melapor melalui [email protected]. Email terenkripsi diperbolehkan.
  2. Kami mengakui dalam 48 jam dan menetapkan referensi pelacakan.
  3. Triage dalam 5 hari — kami mengonfirmasi apakah temuan masuk ruang lingkup dan dapat direproduksi.
  4. Perbaikan & deploy dengan jadwal proporsional terhadap tingkat keparahan (jam untuk kritis, hari untuk tinggi, minggu untuk lebih rendah).
  5. Pengungkapan terkoordinasi dengan atribusi untukmu, ditambah entri Hall of Fame.

Hall of Fame

  • Esrak Fardin Ratul (zer0rat)

    View-limit race condition (TOCTOU): a maxViews=1 secret could be read more than once under concurrent requests. Fixed by making the view-limit claim atomic.

Siap melapor atau punya pertanyaan?

[email protected]

Lihat juga: model ancaman · verifikasi Vaulted sendiri · security.txt