Vaulted

Bug Bounty & Divulgazione Responsabile

Accogliamo l'esame critico. Trova un vero problema di sicurezza e ottieni credito pubblico e una voce permanente nella Hall of Fame.

Policy aggiornata il 2026-04-27 · Maxim Novak

La proposta onesta

Vaulted è uno strumento gratuito sviluppato in modo indipendente. Per ora non paghiamo compensi in denaro — pretendere il contrario sarebbe fuorviante. In compenso, le segnalazioni valide ricevono un rapido riscontro, credito pubblico su questa pagina, un'assegnazione CVE dove applicabile e la nostra sincera gratitudine. Se cerchi bounty a pagamento, questo non è il posto giusto. Se ti importa che gli strumenti con cifratura end-to-end mantengano le loro promesse, approfondisci.

Cosa ottieni per una segnalazione valida

  • Riscontro entro 48 ore. Una persona reale, una risposta vera.
  • Voce permanente nella Hall of Fame su questa pagina con il tuo nome (o handle), la data e una breve descrizione del problema una volta risolto e divulgato.
  • Coordinamento CVE se il risultato lo giustifica — collaboreremo con te sulla prenotazione e i tempi di pubblicazione.
  • Divulgazione coordinata con una tempistica che funziona per te. Prima correggiamo, poi pubblichiamo i dettagli con attribuzione.
  • Un sincero ringraziamento da una persona reale. Se in futuro dovessero essere disponibili compensi in denaro, i pagamenti retroattivi ai ricercatori precedenti saranno valutati equamente.

Nel perimetro

Implementazione crittografica

Qualsiasi difetto nella cifratura client-side AES-256-GCM, nella generazione delle chiavi, nel riutilizzo degli IV, nella gestione del frammento URL o nel key wrapping della passphrase. La crittografia è il prodotto — i bug qui hanno la massima priorità.

Bypass autenticazione / autorizzazione

Lettura o modifica di segreti senza ID e chiave corretti. Elusione dei limiti di visualizzazione, della scadenza o delle richieste di passphrase.

Esposizione di dati

Perdita lato server di testo in chiaro, chiavi, IV in posti inattesi, testo cifrato, contatori di visualizzazioni, indirizzi IP o qualsiasi altro dato che non dovrebbe essere osservabile.

Vulnerabilità lato server

Bug nei route handler API, bypass del rate limit, injection, problemi di deserializzazione, SSRF, request smuggling lato server.

Configurazione errata dell'infrastruttura

Qualsiasi cosa nel deployment in produzione di vaulted.fyi che esponga dati o metta a rischio il modello di sicurezza.

Integrità della supply chain

Artefatti di build compromessi o manomessi, SRI mancante dove è rilevante, attacchi di dependency confusion contro i nostri pacchetti npm pubblicati.

Fuori perimetro

Attacchi volumetrici o denial-of-service

Non tentare di abbattere il sito. I bug di bypass del rate limit sono nel perimetro; il flooding no.

Spam / abuso della creazione di segreti

Generare un gran numero di segreti non è una vulnerabilità.

Social engineering

Nei confronti di staff, collaboratori o utenti. Il phishing della casella di sicurezza non conta.

Vulnerabilità in servizi di terze parti

I problemi in Vercel, Upstash, Cloudflare ecc. vanno segnalati direttamente ai rispettivi fornitori. Siamo disponibili a coordinare se il problema riguarda specificamente Vaulted.

Problemi che richiedono un endpoint compromesso

Un browser compromesso, un'estensione malevola o un keylogger sul dispositivo dell'utente sono riconosciuti nel nostro modello di minaccia — vedi modello di minaccia. Non si tratta di vulnerabilità in Vaulted.

Risultati best-practice senza impatto

«L'header X è assente» o «l'attributo cookie Y» senza un impatto di sicurezza dimostrato. Segnalacelo comunque — potremmo correggerlo — ma non basta per la Hall of Fame.

Regole di ingaggio

  • Testa solo con segreti che hai creato tu stesso. Non accedere né tentare di accedere ai dati di altri utenti.
  • Fermati e segnala al primo indizio di una vulnerabilità. Non eseguire pivot, esfiltrazione, persistenza o escalation.
  • Non pubblicare dettagli finché non abbiamo avuto una ragionevole opportunità di correggere — tipicamente 90 giorni, ma puntiamo a fare prima.
  • La scansione automatica è ammessa entro limiti di traffico ragionevoli. Se il tuo strumento genera traffico significativo, rallentalo.
  • I test in produzione sono a tuo rischio. Non adotteremo misure contro ricerche in buona fede che rispettano queste regole.

Processo e tempi

  1. Segnali via [email protected]. L'email cifrata è benvenuta.
  2. Rispondiamo entro 48 ore e assegniamo un riferimento di tracciamento.
  3. Triage entro 5 giorni — confermiamo se il risultato è nel perimetro e riproducibile.
  4. Correzione e deploy con una tempistica proporzionale alla gravità (ore per critici, giorni per alti, settimane per minori).
  5. Divulgazione coordinata con attribuzione a te e voce nella Hall of Fame.

Hall of Fame

  • Esrak Fardin Ratul (zer0rat)

    View-limit race condition (TOCTOU): a maxViews=1 secret could be read more than once under concurrent requests. Fixed by making the view-limit claim atomic.

Pronto a segnalare o hai una domanda?

[email protected]

Vedi anche: modello di minaccia · verifica Vaulted tu stesso · security.txt