Vaulted

バグバウンティ&責任ある開示

厳しい目で見てほしい。本物のセキュリティ問題を見つけたら、公開クレジットと永続的な Hall of Fame への掲載が得られる。

ポリシー最終更新日 2026-04-27 · Maxim Novak

正直な説明

Vaulted は独立して開発された無料ツールです。現時点では金銭的な報奨金は支払っていません — そう装うのは誤解を招くだけです。代わりに、有効な報告には迅速な確認、このページでの公開クレジット、該当する場合は CVE の割り当て、そして心からの感謝をお届けします。有償バウンティを求めているなら、ここは適切な場所ではありません。エンドツーエンド暗号化ツールが謳い文句どおりに機能しているか気にかけているなら、ぜひ深く調べてみてください。

有効な報告で得られるもの

  • 48時間以内の確認。 実際の人間による、実際の返信。
  • 永続的な Hall of Fame への掲載 — このページに名前(またはハンドル)、日付、問題の修正・開示後の概要を掲載。
  • CVE の調整 — 発見内容がそれに値する場合、予約と公開タイミングについて一緒に進めます。
  • 調整された開示 — あなたに合ったスケジュールで。修正を先に行い、その後帰属表示とともに詳細を公開します。
  • 心からのお礼 — 実在の人間から。後に金銭的報奨金が利用可能になった場合、過去の研究者への遡及的な支払いを公正に検討します。

スコープ内

暗号実装

クライアントサイドの AES-256-GCM、鍵生成、IV の再利用、URL フラグメントの処理、またはパスフレーズのラッピングにおける欠陥。暗号がこの製品の核心 — ここのバグは最優先の報告です。

認証・認可のバイパス

正しい ID と鍵なしにシークレットを読み取ったり変更したりすること。閲覧制限、有効期限、またはパスフレーズプロンプトのバイパス。

データ漏洩

平文、鍵、IV、暗号文、閲覧カウント、IPアドレス、その他観測されるべきでないデータのサーバーサイドからの意図しない流出。

サーバーサイドの脆弱性

API ルートハンドラーのバグ、レート制限バイパス、インジェクション、デシリアライゼーションの問題、SSRF、サーバーサイドリクエストスマグリング。

インフラの設定ミス

本番環境の vaulted.fyi においてデータを露出させたり、セキュリティモデルを損なうもの。

サプライチェーンの完全性

侵害または改ざんされたビルドアーティファクト、重要な箇所での SRI の欠如、公開 npm パッケージに対する依存関係混乱攻撃。

スコープ外

大量トラフィック攻撃またはサービス拒否攻撃

サイトをダウンさせようとしないこと。レート制限のバイパスバグはスコープ内;フラッディングは対象外。

シークレット作成のスパム・乱用

大量のシークレットを生成することは脆弱性ではありません。

ソーシャルエンジニアリング

スタッフ、コントリビューター、またはユーザーへの攻撃。セキュリティ窓口へのフィッシングは対象外です。

サードパーティサービスの脆弱性

Vercel、Upstash、Cloudflare などの問題は各プロバイダーに報告してください。Vaulted に直接影響する問題であれば、調整に協力します。

侵害されたエンドポイントが必要な問題

侵害されたブラウザ、悪意のある拡張機能、またはユーザーのデバイス上のキーロガーは、脅威モデルで考慮済みです — 脅威モデルを参照。これらは Vaulted の脆弱性ではありません。

影響のないベストプラクティスに関する指摘

「ヘッダー X がない」や「Cookie 属性 Y」などのセキュリティ上の影響が実証されていない指摘。教えてもらえれば対応するかもしれませんが、Hall of Fame の対象にはなりません。

参加ルール

  • 自分で作成したシークレットのみでテストすること。他のユーザーのデータにアクセスしたり、アクセスしようとしたりしないこと。
  • 脆弱性の兆候を見つけたら、すぐに停止して報告すること。ピボット、データ持ち出し、永続化、または権限昇格は行わないこと。
  • 修正の合理的な機会(通常90日)が与えられるまで詳細を公開しないこと。より迅速な対応を目指します。
  • 自動スキャンは合理的なレート制限内であれば問題ありません。ツールが大量のトラフィックを発生させる場合は、スロットルをかけること。
  • 本番環境へのテストは自己責任で。これらのルールに従った善意の研究に対しては措置を取りません。

プロセス&タイムライン

  1. 報告する[email protected]。暗号化メールも歓迎します。
  2. 48時間以内に確認 し、追跡用の参照番号を割り当てます。
  3. 5日以内にトリアージ — 発見内容がスコープ内で再現可能かどうかを確認します。
  4. 修正&デプロイ — 重大度に比例したスケジュールで(緊急は数時間、高は数日、低は数週間)。
  5. 調整された開示 — あなたへの帰属表示と Hall of Fame への掲載を伴う。

Hall of Fame

  • Esrak Fardin Ratul (zer0rat)

    View-limit race condition (TOCTOU): a maxViews=1 secret could be read more than once under concurrent requests. Fixed by making the view-limit claim atomic.

報告の準備ができましたか、または質問がありますか?

[email protected]

関連ページ: 脅威モデル · Vaulted を自分で検証する · security.txt