Vaulted

Bug bounty e divulgação responsável

Damos as boas-vindas ao escrutínio. Encontre um problema de segurança real e ganhe crédito público e uma menção permanente no Hall da Fama.

Política atualizada pela última vez em 2026-04-27 · Maxim Novak

A proposta honesta

O Vaulted é uma ferramenta gratuita criada de forma independente. Ainda não pagamos recompensas em dinheiro — fingir o contrário seria enganoso. Em vez disso, os relatos válidos recebem confirmação rápida, crédito público nesta página, a atribuição de um CVE quando aplicável e o nosso agradecimento sincero. Se você está atrás de recompensas pagas, este não é o seu lugar. Se você se importa que as ferramentas com criptografia de ponta a ponta façam o que prometem, por favor, investigue a fundo.

O que você ganha por um relato válido

  • Confirmação em até 48 horas. Pessoa real, resposta real.
  • Menção permanente no Hall da Fama nesta página com o seu nome (ou apelido), a data e uma breve descrição do problema, depois de corrigido e divulgado.
  • Coordenação de CVE se o achado justificar — trabalharemos com você na reserva e no momento da publicação.
  • Divulgação coordenada em um cronograma que funcione para você. Primeiro corrigimos, depois publicamos os detalhes com atribuição.
  • Uma nota de agradecimento sincera de uma pessoa real. Se recompensas em dinheiro forem habilitadas mais tarde, pagamentos retroativos a pesquisadores anteriores serão considerados de forma justa.

Dentro do escopo

Implementação criptográfica

Qualquer falha no AES-256-GCM no lado do cliente, na geração de chaves, na reutilização de IV, no tratamento do fragmento da URL ou no encapsulamento da frase-senha. A criptografia é o produto — falhas aqui são os relatos de maior prioridade.

Bypass de autenticação / autorização

Ler ou modificar segredos sem o ID e a chave corretos. Burlar os limites de visualizações, a expiração ou as solicitações de frase-senha.

Exposição de dados

Vazamento no lado do servidor de texto simples, chaves, IVs em lugares inesperados, texto cifrado, contadores de visualizações, endereços IP ou qualquer outro dado que não deveria ser observável.

Vulnerabilidades do lado do servidor

Falhas nos manipuladores de rotas da API, bypass de limitação de taxa, injeção, problemas de desserialização, SSRF, request smuggling no lado do servidor.

Configuração incorreta de infraestrutura

Qualquer coisa na implantação de produção do vaulted.fyi que exponha dados ou comprometa o modelo de segurança.

Integridade da cadeia de suprimentos

Artefatos de build comprometidos ou adulterados, SRI ausente onde importa, ataques de dependency-confusion contra nossos pacotes npm publicados.

Fora do escopo

Ataques volumétricos ou de negação de serviço

Não tente derrubar o site. Falhas de bypass de limitação de taxa estão dentro do escopo; flooding não.

Spam / abuso da criação de segredos

Gerar grandes quantidades de segredos não é uma vulnerabilidade.

Engenharia social

Contra a equipe, colaboradores ou usuários. Fazer phishing na caixa de entrada de segurança não conta.

Vulnerabilidades em serviços de terceiros

Problemas no Vercel, Upstash, Cloudflare, etc. devem ser reportados a seus respectivos fornecedores. Teremos prazer em coordenar se o problema afetar especificamente o Vaulted.

Problemas que exigem um endpoint comprometido

Um navegador comprometido, uma extensão maliciosa ou um keylogger no dispositivo do usuário são reconhecidos em nosso modelo de ameaças — consulte o modelo de ameaças. Não são vulnerabilidades do Vaulted.

Achados de boas práticas sem impacto

«Falta o cabeçalho X» ou «o atributo de cookie Y» sem um impacto de segurança demonstrado. Conte-nos mesmo assim — talvez corrijamos —, mas não vai qualificar para o Hall da Fama.

Regras de participação

  • Teste apenas com segredos que você mesmo cria. Não acesse nem tente acessar os dados de outros usuários.
  • Pare e relate ao primeiro sinal de uma vulnerabilidade. Não pivote, exfiltre, persista nem escale.
  • Não publique os detalhes até que tenhamos tido uma oportunidade razoável de corrigir — normalmente 90 dias, mas procuramos ser mais rápidos.
  • Escaneamento automatizado é aceitável dentro de limites de taxa razoáveis. Se a sua ferramenta gerar tráfego significativo, reduza a frequência.
  • Testes contra produção por sua conta e risco. Não tomaremos medidas contra pesquisa de boa-fé que siga estas regras.

Processo e prazos

  1. Você relata por meio de [email protected]. E-mail criptografado é bem-vindo.
  2. Confirmamos em até 48 horas e atribuímos uma referência de acompanhamento.
  3. Triagem em até 5 dias — confirmamos se o achado está dentro do escopo e é reproduzível.
  4. Correção e deploy em um prazo proporcional à gravidade (horas para os críticos, dias para os altos, semanas para os menores).
  5. Divulgação coordenada com atribuição a você, além da entrada no Hall da Fama.

Hall da Fama

  • Esrak Fardin Ratul (zer0rat)

    View-limit race condition (TOCTOU): a maxViews=1 secret could be read more than once under concurrent requests. Fixed by making the view-limit claim atomic.

Pronto para relatar ou tem uma pergunta?

[email protected]

Veja também: modelo de ameaças · verifique você mesmo o Vaulted · security.txt