Vaulted

Bug Bounty & odpowiedzialne ujawnianie

Zachęcamy do weryfikacji. Znajdź prawdziwy problem bezpieczeństwa — zdobądź publiczne uznanie i stały wpis do Hall of Fame.

Polityka ostatnio zaktualizowana 2026-04-27 · Maxim Novak

Szczera propozycja

Vaulted to niezależnie rozwijane, bezpłatne narzędzie. Nie płacimy jeszcze gotówkowych nagród — udawanie inaczej byłoby mylące. Zamiast tego prawidłowe zgłoszenia otrzymują szybkie potwierdzenie, publiczne uznanie na tej stronie, nadanie numeru CVE gdy dotyczy oraz nasze szczere podziękowania. Jeśli poluje się na płatne nagrody, to nie to miejsce. Jeśli zależy ci na tym, by narzędzia z szyfrowaniem end-to-end robiły to, co obiecują — zapraszamy do wnikliwej analizy.

Co dostajesz za prawidłowe zgłoszenie

  • Potwierdzenie w ciągu 48 godzin. Prawdziwy człowiek, prawdziwa odpowiedź.
  • Stały wpis do Hall of Fame na tej stronie z twoim imieniem (lub pseudonimem), datą i krótkim opisem problemu po jego naprawieniu i ujawnieniu.
  • Koordynacja CVE jeśli znalezisko na to zasługuje — współpracujemy przy rezerwacji i harmonogramie publikacji.
  • Skoordynowane ujawnienie zgodnie z harmonogramem odpowiadającym twoim potrzebom. Najpierw naprawiamy, potem publikujemy szczegóły z podaniem autorstwa.
  • Szczere podziękowanie od prawdziwej osoby. Jeśli nagrody gotówkowe staną się dostępne w przyszłości, zostaną uczciwie rozważone retroaktywne wypłaty dla wcześniejszych badaczy.

W zakresie

Implementacja kryptograficzna

Wszelkie błędy w klientskim AES-256-GCM, generowaniu kluczy, ponownym użyciu IV, obsłudze fragmentu URL lub owijaniu passphrase. Kryptografia to produkt — błędy tutaj mają najwyższy priorytet.

Ominięcie uwierzytelniania / autoryzacji

Odczytywanie lub modyfikowanie sekretów bez prawidłowego ID i klucza. Omijanie limitów wyświetleń, wygaśnięcia lub monitów o passphrase.

Ujawnienie danych

Wyciek po stronie serwera plaintekstu, kluczy, IV w nieoczekiwanych miejscach, ciphertext, liczników wyświetleń, adresów IP lub jakichkolwiek innych danych, które nie powinny być obserwowalne.

Podatności po stronie serwera

Błędy w handlerach tras API, ominięcie rate limitów, injection, problemy z deserializacją, SSRF, request smuggling po stronie serwera.

Błędna konfiguracja infrastruktury

Cokolwiek w produkcyjnym deploymencie vaulted.fyi co ujawnia dane lub podważa model bezpieczeństwa.

Integralność łańcucha dostaw

Skompromitowane lub zmodyfikowane artefakty budowania, brakujące SRI tam gdzie jest ważne, ataki dependency-confusion na nasze opublikowane pakiety npm.

Poza zakresem

Ataki wolumetryczne lub denial-of-service

Nie próbuj przewrócić serwisu. Błędy omijania rate limitów są w zakresie; flooding nie.

Spam / nadużycie tworzenia sekretów

Generowanie dużych ilości sekretów nie jest podatnością.

Inżynieria społeczna

Wobec pracowników, współtwórców lub użytkowników. Phishing skrzynki bezpieczeństwa się nie liczy.

Podatności w usługach stron trzecich

Problemy w Vercel, Upstash, Cloudflare itp. należy zgłaszać upstream. Chętnie skoordynujemy, jeśli problem dotyczy konkretnie Vaulted.

Problemy wymagające skompromitowanego urządzenia

Skompromitowana przeglądarka, złośliwe rozszerzenie lub keylogger na urządzeniu użytkownika są uwzględnione w naszym modelu zagrożeń — patrz model zagrożeń. To nie są podatności Vaulted.

Znaleziska best practice bez wpływu

„Brakuje nagłówka X” lub „atrybut cookie Y” bez wykazanego wpływu na bezpieczeństwo. Powiedz nam mimo to — możemy to naprawić — ale to nie kwalifikuje do Hall of Fame.

Zasady uczestnictwa

  • Testuj tylko z sekretami, które sam/sama stworzyłeś/stworzyłaś. Nie uzyskuj dostępu ani nie próbuj uzyskać dostępu do danych innych użytkowników.
  • Zatrzymaj się i zgłoś przy pierwszych oznakach podatności. Nie wykonuj pivotów, nie eksfiltruj danych, nie utrwalaj dostępu ani nie eskaluj uprawnień.
  • Nie publikuj szczegółów, dopóki nie mieliśmy rozsądnej możliwości naprawy — zazwyczaj 90 dni, ale dążymy do szybszego działania.
  • Automatyczne skanowanie jest dozwolone w granicach rozsądnych rate limitów. Jeśli twoje narzędzie generuje znaczący ruch, ogranicz go.
  • Testy na produkcji na własne ryzyko. Nie będziemy podejmować działań przeciwko badaniom prowadzonym w dobrej wierze zgodnie z tymi zasadami.

Proces i harmonogram

  1. Zgłaszasz przez [email protected]. Szyfrowana poczta e-mail jest mile widziana.
  2. Potwierdzamy w ciągu 48 godzin i przypisujemy numer referencyjny do śledzenia.
  3. Triage w ciągu 5 dni — potwierdzamy, czy znalezisko jest w zakresie i odtwarzalne.
  4. Naprawa i deploy zgodnie z harmonogramem proporcjonalnym do wagi (godziny dla krytycznych, dni dla wysokich, tygodnie dla niższych).
  5. Skoordynowane ujawnienie z podaniem twojego autorstwa oraz wpisem do Hall of Fame.

Hall of Fame

  • Esrak Fardin Ratul (zer0rat)

    View-limit race condition (TOCTOU): a maxViews=1 secret could be read more than once under concurrent requests. Fixed by making the view-limit claim atomic.

Gotowy/gotowa do zgłoszenia lub masz pytanie?

[email protected]

Zobacz też: model zagrożeń · zweryfikuj Vaulted samodzielnie · security.txt