Vaulted

Bug Bounty & Sorumlu Açıklama

Eleştiriye açığız. Gerçek bir güvenlik açığı bul, kamuya açık kredi ve kalıcı Hall of Fame listesi kazan.

Politika son güncellenme tarihi 2026-04-27 · Maxim Novak

Dürüst teklif

Vaulted bağımsız olarak geliştirilen ücretsiz bir araçtır. Henüz nakit ödül vermiyoruz — aksini iddia etmek yanıltıcı olur. Bunun yerine geçerli raporlar hızlı onay, bu sayfada kamuya açık kredi, uygun olduğunda CVE ataması ve gerçek teşekkürlerimizi alır. Ücretli ödüller peşindeysen, bu yer senin için değil. Uçtan uca şifreli araçların iddialarını yerine getirip getirmediğini umursuyorsan, lütfen derinlemesine incele.

Geçerli bir rapor için ne alırsın

  • 48 saat içinde onay. Gerçek bir insan, gerçek bir yanıt.
  • Kalıcı Hall of Fame listesi bu sayfada adın (veya takma adın), tarih ve düzeltilip açıklandıktan sonra sorunun kısa açıklamasıyla birlikte.
  • CVE koordinasyonu bulgu bunu gerektiriyorsa — rezervasyon ve yayın zamanlaması konusunda seninle birlikte çalışırız.
  • Koordineli açıklama sana uygun bir takvimde. Önce düzeltiriz, ardından atıfla birlikte ayrıntıları yayımlarız.
  • Gerçek bir teşekkür notu gerçek bir insandan. Nakit ödüller ilerleyen dönemde sunulursa, önceki araştırmacılara geriye dönük ödemeler adil biçimde değerlendirilecektir.

Kapsam dahilinde

Kriptografik uygulama

İstemci tarafı AES-256-GCM, anahtar üretimi, IV yeniden kullanımı, URL fragment işleme veya parola ifadesi sarmalama konusundaki herhangi bir kusur. Kriptografi ürünün kendisidir — buradaki hatalar en yüksek öncelikli raporlardır.

Kimlik doğrulama / yetkilendirme atlatma

Doğru ID ve anahtar olmadan gizli bilgileri okumak veya değiştirmek. Görüntüleme limitlerini, son kullanma süresini veya parola ifadesi istemlerini atlatmak.

Veri sızıntısı

Sunucu tarafında beklenmedik yerlerde düz metin, anahtarlar, IV'ler, şifreli metin, görüntüleme sayıları, IP adresleri veya gözlemlenemez olması gereken diğer verilerin sızması.

Sunucu tarafı güvenlik açıkları

API rota işleyici hataları, hız limiti atlatma, injection, deserialization sorunları, SSRF, sunucu tarafı istek kaçakçılığı.

Altyapı yanlış yapılandırması

vaulted.fyi üretim ortamında veri açığa çıkaran veya güvenlik modelini zayıflatan her şey.

Tedarik zinciri bütünlüğü

Ele geçirilmiş veya değiştirilmiş derleme artifaktları, önemli yerlerde eksik SRI, yayımlanan npm paketlerimize yönelik bağımlılık karıştırma saldırıları.

Kapsam dışında

Hacimsel saldırılar veya hizmet reddi

Siteyi çökertmeye çalışma. Hız limiti atlatma hataları kapsam dahilindedir; flooding değil.

Spam / gizli bilgi oluşturma kötüye kullanımı

Çok sayıda gizli bilgi oluşturmak bir güvenlik açığı değildir.

Sosyal mühendislik

Personele, katkıcılara veya kullanıcılara yönelik. Güvenlik gelen kutusunu phishing yapmak sayılmaz.

Üçüncü taraf hizmetlerdeki güvenlik açıkları

Vercel, Upstash, Cloudflare vb. sorunlar doğrudan ilgili tarafa bildirilmelidir. Sorun özellikle Vaulted'ı etkiliyorsa koordine etmekten memnuniyet duyarız.

Ele geçirilmiş uç nokta gerektiren sorunlar

Ele geçirilmiş bir tarayıcı, kötü amaçlı uzantı veya kullanıcının cihazındaki keylogger tehdit modelimizde ele alınmıştır — bkz. tehdit modeli. Bunlar Vaulted'daki güvenlik açıkları değildir.

Etkisi kanıtlanmamış en iyi uygulama bulguları

Gösterilen bir güvenlik etkisi olmadan "X başlığı eksik" veya "Y çerez özelliği" gibi bulgular. Yine de bize bildir — düzeltebiliriz — ancak Hall of Fame için uygun olmayacaktır.

Katılım kuralları

  • Yalnızca kendi oluşturduğun gizli bilgilerle test yap. Başka kullanıcıların verilerine erişme veya erişmeye çalışma.
  • Bir güvenlik açığının ilk belirtisinde dur ve bildir. Pivot, veri sızdırma, kalıcılık veya yetki yükseltme yapma.
  • Makul bir düzeltme fırsatı vermeden ayrıntıları yayımlama — genellikle 90 gün, ancak daha hızlı olmayı hedefliyoruz.
  • Makul hız limitlerinde otomatik tarama uygundur. Aracın önemli trafik oluşturuyorsa hızını düşür.
  • Üretim ortamında test kendi riski üzerinedir. Bu kurallara uyan iyi niyetli araştırmalara karşı işlem başlatmayacağız.

Süreç & zaman dilimleri

  1. Bildirirsin adresi üzerinden [email protected]. Şifreli e-posta tercih edilir.
  2. 48 saat içinde onaylarız ve bir takip referansı atarız.
  3. 5 gün içinde değerlendirme — bulgunun kapsam dahilinde ve yeniden üretilebilir olup olmadığını doğrularız.
  4. Düzelt & dağıt kritikliğe orantılı bir takvimde (kritik için saatler, yüksek için günler, düşük için haftalar).
  5. Koordineli açıklama sana atıfla birlikte, artı Hall of Fame girişi.

Hall of Fame

  • Esrak Fardin Ratul (zer0rat)

    View-limit race condition (TOCTOU): a maxViews=1 secret could be read more than once under concurrent requests. Fixed by making the view-limit claim atomic.

Rapor etmeye hazır mısın veya sorun mu var?

[email protected]

Ayrıca bkz.: tehdit modeli · Vaulted'ı kendin doğrula · security.txt