TrustThis
Voltar ao início

Programa de Divulgação de Vulnerabilidades

Vulnerability Disclosure Program (VDP)

Versão 1.0 — Última atualização em: 15/10/2025

1. Introdução

A TrustThis valoriza profundamente a comunidade de pesquisadores de segurança e reconhece o papel vital que desempenham na proteção de sistemas e dados.

Este Programa de Divulgação de Vulnerabilidades (VDP) estabelece um canal transparente e seguro para que pesquisadores independentes reportem vulnerabilidades de segurança de forma responsável.

✅ Nossos Compromissos:

  • Responder a todos os relatórios em até 5 dias úteis
  • Trabalhar de boa-fé com pesquisadores éticos
  • Não iniciar ações legais contra pesquisadores que sigam nossas diretrizes
  • Reconhecer publicamente descobertas significativas (se o pesquisador autorizar)
  • Manter transparência sobre vulnerabilidades corrigidas

Não oferecemos recompensas monetárias (bug bounty) neste momento, mas mantemos um Hall da Fama para reconhecer contribuições importantes.

2. Escopo: Sistemas Incluídos

Os seguintes sistemas e aplicações estão no escopo deste VDP:

✅ Aplicações Web (Produção):

  • https://trustthis.org — Site principal
  • https://trustthis.org/admin/* — Painel administrativo
  • https://trustthis.org/api/* — API REST interna
  • Subdomínios oficiais (se houver, serão listados aqui)

✅ Infraestrutura e Serviços:

  • Servidor de produção (infraestrutura hospedada na Vercel)
  • Banco de dados (Supabase PostgreSQL — apenas vulnerabilidades na nossa configuração, não no Supabase em si)
  • CDN e assets estáticos (configurações de segurança)

✅ Código-Fonte (Open Source):

  • Repositório GitHub: github.com/trustthis-org/trustthis (se público)
  • Vulnerabilidades em dependências de terceiros são elegíveis se afetarem diretamente a TrustThis

3. Escopo: Sistemas Excluídos

Os seguintes sistemas e tipos de vulnerabilidades estão fora do escopo deste VDP:

❌ Serviços de Terceiros:

  • Supabase (vulnerabilidades no próprio serviço, não na nossa configuração)
  • OpenRouter (provedor de APIs de IA)
  • Vercel (plataforma de hospedagem)
  • Google Tag Manager, Clarity, Facebook Pixel (serviços de analytics)
  • Qualquer outro serviço SaaS de terceiros que não controlamos diretamente

❌ Tipos de Vulnerabilidades Não Elegíveis:

  • Engenharia social (phishing, pretexting, etc.)
  • Ataques físicos (acesso físico a servidores, escritórios)
  • Negação de serviço (DoS/DDoS) — testar isso é proibido
  • Clickjacking em páginas sem dados sensíveis
  • SPF/DMARC/DKIM ausentes ou mal configurados (a menos que demonstre impacto real)
  • Ausência de rate limiting (a menos que explore uma vulnerabilidade específica)
  • Vazamento de informações públicas (ex: versões de software expostas sem exploração real)
  • Problemas de UX/UI que não representem risco de segurança
  • Vulnerabilidades em navegadores antigos/desatualizados (suportamos apenas versões modernas)
  • Reports automáticos de scanners sem validação manual (muitos falsos positivos)

⚠️ Dúvidas sobre Escopo?

Se você não tem certeza se uma vulnerabilidade está no escopo, reporte mesmo assim. Nós revisaremos e orientaremos de boa-fé, sem penalidades.

4. Tipos de Vulnerabilidades (Prioridades)

Estamos particularmente interessados nas seguintes classes de vulnerabilidades:

🔴 CRITICIDADE ALTA:

  • SQL Injection (SQLi)
  • Remote Code Execution (RCE)
  • Authentication Bypass (bypass de autenticação)
  • Privilege Escalation (escalação de privilégios)
  • Server-Side Request Forgery (SSRF)
  • Deserialization insegura
  • Exposição de secrets/keys (API keys, tokens, senhas em código)

🟠 CRITICIDADE MÉDIA:

  • Cross-Site Scripting (XSS) — Stored, Reflected, DOM-based
  • Cross-Site Request Forgery (CSRF)
  • Insecure Direct Object Reference (IDOR)
  • Open Redirect (redirecionamento aberto)
  • Path Traversal / LFI (Local File Inclusion)
  • XML External Entity (XXE)
  • Broken Access Control (controle de acesso quebrado)

🟡 CRITICIDADE BAIXA/INFORMATIVA:

  • Security Misconfiguration (configurações inseguras)
  • Sensitive Data Exposure (exposição de dados sensíveis)
  • Missing Security Headers (CSP, HSTS, X-Frame-Options, etc.)
  • Verbose Error Messages (mensagens de erro com informações sensíveis)
  • TLS/SSL Issues (weak ciphers, expired certificates)

5. Como Reportar uma Vulnerabilidade

Para reportar uma vulnerabilidade de segurança, siga os passos abaixo:

📧 Canal de Contato:

Email: security@trustthis.org

PGP Público: Disponível em /security/pgp-key (para relatórios sensíveis)

📝 Informações a Incluir no Relatório:

  • Título descritivo (ex: "SQL Injection no endpoint /api/admin/audit")
  • Descrição detalhada da vulnerabilidade
  • Tipo de vulnerabilidade (SQLi, XSS, IDOR, etc.)
  • Criticidade estimada (Alta, Média, Baixa)
  • URL ou endpoint afetado
  • Passos para reproduzir (proof of concept)
  • Impacto potencial (o que um atacante poderia fazer?)
  • Screenshots/vídeos (se aplicável)
  • Sugestões de correção (opcional, mas apreciado!)
  • Seu nome/pseudônimo (para reconhecimento, se desejar)

✅ Exemplo de Relatório de Qualidade:

Título: SQL Injection no parâmetro "company_id" (/api/admin/audit)

Tipo: SQL Injection (SQLi)

Criticidade: Alta

URL: https://trustthis.org/api/admin/audit?company_id=1

PoC: curl -X POST "https://trustthis.org/api/admin/audit?company_id=1' OR '1'='1"

Impacto: Possível extração de dados sensíveis do banco de dados.

Correção sugerida: Usar prepared statements ou ORM com sanitização.

Nota: Quanto mais detalhes você fornecer, mais rápido conseguiremos validar e corrigir a vulnerabilidade.

6. Timeline de Resposta

Nos comprometemos a responder de forma ágil e transparente:

1

Confirmação Inicial

Prazo: Até 5 dias úteis
O que você receberá: Email confirmando que recebemos seu relatório e que iniciamos a análise.

2

Triagem e Validação

Prazo: Até 10 dias úteis
O que você receberá: Validação se a vulnerabilidade é elegível, criticidade confirmada, e estimativa de correção.

3

Correção e Deploy

Prazo: 30-90 dias (dependendo da criticidade)
Criticidade Alta: 7-30 dias
Criticidade Média: 30-60 dias
Criticidade Baixa: 60-90 dias

4

Divulgação Pública (Opcional)

Prazo: Após correção + 30 dias de graça
O que acontece: Se você desejar, divulgaremos a vulnerabilidade corrigida publicamente e adicionaremos você ao Hall da Fama.

⚠️ Vulnerabilidades Críticas (RCE, Auth Bypass):

Para vulnerabilidades de criticidade alta que representem risco imediato, nosso objetivo é corrigir em 7 dias e você receberá atualizações diárias.

7. Regras de Engajamento (O que NÃO fazer)

Para manter a integridade dos nossos sistemas e dados de usuários, pedimos que você não:

❌ Proibições Absolutas:

  • NÃO realize ataques de negação de serviço (DoS/DDoS) — isso inclui testes de rate limiting agressivos
  • NÃO acesse, modifique ou exfiltre dados de outros usuários — se você descobrir uma vulnerabilidade que permite isso, pare imediatamente e reporte
  • NÃO execute engenharia social (phishing, pretexting) contra nossos colaboradores ou usuários
  • NÃO destrua ou corrompa dados — use contas de teste sempre que possível
  • NÃO divulgue a vulnerabilidade publicamente antes da correção — aguarde nosso OK para disclosure
  • NÃO pivoteie para sistemas de terceiros (ex: se descobrir credenciais de AWS, não explore além do escopo)
  • NÃO realize ataques físicos ou tente obter acesso não autorizado a instalações

✅ Boas Práticas:

  • Use contas de teste — crie sua própria conta se precisar testar autenticação
  • Minimize o impacto — não teste em produção se puder usar ambiente de staging (se disponível)
  • Documente tudo — mantenha logs dos seus testes para referência
  • Respeite a privacidade — se você acidentalmente acessar dados de usuários, não leia, copie ou compartilhe
  • Comunique-se conosco — se você tiver dúvidas, pergunte antes de agir

Importante: Pesquisadores que violarem essas regras perderão a proteção do Safe Harbor (veja seção abaixo) e poderão enfrentar ações legais.

8. Recompensas e Reconhecimento

Embora não ofereçamos recompensas monetárias (bug bounty) no momento, reconhecemos e valorizamos profundamente as contribuições de pesquisadores de segurança.

🏆 Hall da Fama:

Pesquisadores que reportarem vulnerabilidades elegíveis e validadas serão adicionados ao nosso Hall da Fama Público (se desejarem).

O que é divulgado:

  • Seu nome ou pseudônimo (a sua escolha)
  • Tipo de vulnerabilidade (ex: "XSS no painel admin")
  • Data da descoberta e data da correção
  • Link para seu perfil (GitHub, Twitter, LinkedIn — opcional)

Link: /security/hall-of-fame (disponível após primeira submissão)

📜 Cartas de Reconhecimento:

Para vulnerabilidades de criticidade média ou alta, fornecemos uma carta formal de reconhecimento que você pode usar em:

  • Seu currículo ou portfólio
  • Processos de certificação (OSCP, CEH, etc.)
  • Competições de hacking ou CTFs

💰 Bug Bounty no Futuro?

Estamos avaliando a possibilidade de lançar um programa de recompensas monetárias (bug bounty) no futuro. Se/quando isso acontecer, avisaremos nesta página.

9. Política de Safe Harbor (Proteção Legal)

A TrustThis se compromete a não iniciar ações legais contra pesquisadores que:

✅ Você Está Protegido Se:

  • Agir de boa-fé — sua intenção é ajudar, não prejudicar
  • Seguir as Regras de Engajamento (seção 7 acima)
  • Reportar prontamente — não explorar a vulnerabilidade além do necessário para demonstração
  • Respeitar a confidencialidade — não divulgar publicamente antes da correção
  • Não acessar dados de usuários — ou, se acidentalmente acessar, reportar imediatamente sem ler/copiar/compartilhar

🛡️ O Que Isso Significa na Prática:

  • Não processaremos você sob leis de crimes cibernéticos (Lei 12.737/2012 — Lei Carolina Dieckmann, no Brasil)
  • Não processaremos você sob leis de acesso não autorizado a sistemas (CFAA nos EUA, equivalentes em outras jurisdições)
  • Trabalharemos com provedores de infraestrutura (Vercel, Supabase) para garantir que você não seja penalizado
  • Consideramos sua pesquisa como autorizada dentro do escopo deste VDP

❌ Você Perde a Proteção Se:

  • Realizar ataques de negação de serviço (DoS/DDoS)
  • Acessar, modificar ou exfiltrar dados de usuários maliciosamente
  • Divulgar a vulnerabilidade publicamente antes da correção (sem nosso consentimento)
  • Extorquir ou chantagear a TrustThis (ex: "pague ou divulgo")
  • Vender a vulnerabilidade a terceiros antes de nos reportar

Nota Legal: Esta política de Safe Harbor se aplica apenas à TrustThis. Não podemos controlar ações de terceiros (ex: provedores de infraestrutura, autoridades governamentais), mas faremos o possível para defender pesquisadores de boa-fé.

10. Vulnerabilidades Reportadas e Corrigidas

Esta seção documenta vulnerabilidades que foram reportadas, validadas e corrigidas, em conformidade com nosso compromisso de transparência.

Última atualização: 15/10/2025

Status: Nenhuma vulnerabilidade reportada até o momento. Esta tabela será atualizada conforme recebermos e corrigirmos reports.

IDTipoCriticidadeDescoberto porData do ReportData da CorreçãoResumo
Nenhuma vulnerabilidade reportada até o momento.
(Esta tabela será preenchida conforme vulnerabilidades forem reportadas, validadas e corrigidas.)

📊 Estatísticas (quando houver dados):

  • Total de vulnerabilidades reportadas: 0
  • Criticidade Alta corrigida: 0
  • Criticidade Média corrigida: 0
  • Criticidade Baixa corrigida: 0
  • Tempo médio de correção (Alta): N/A
  • Tempo médio de correção (Média): N/A

📬 Entre em Contato

Se você tiver dúvidas sobre este VDP, o escopo, ou quiser reportar uma vulnerabilidade:

Email de Segurança: security@trustthis.org

PGP Público: /security/pgp-key

Política de Privacidade: /privacy

Transparência de IA: /transparencia-ia

Agradecemos por ajudar a manter a TrustThis segura para todos. 🙏