fogo.cx
Entrar Solicitar convite

Divulgação Responsável

Política de segurança e relato de vulnerabilidades

Introdução

A segurança do fogo.cx e dos dados de nossos usuários é prioridade. Valorizamos a comunidade de pesquisadores de segurança e incentivamos a divulgação responsável de vulnerabilidades.

Se você descobrir uma vulnerabilidade de segurança, queremos saber. Esta política descreve como reportar problemas de forma segura e o que esperar de nós.

Escopo

Esta política cobre os seguintes ativos:

  • fogo.cx - Domínio principal e todas as páginas
  • *.fogo.cx - Subdomínios (se houver)
  • API - Endpoints de integração

Como Reportar

Envie seu relato para:

security@fogo.cx

Inclua no seu relato:

  • Descrição - O que você encontrou e qual o impacto potencial
  • Passos para reprodução - Como replicar o problema
  • Prova de conceito - Screenshots, vídeos ou código (se aplicável)
  • Ambiente - Navegador, SO, versões relevantes
  • Sugestão de correção - Opcional, mas bem-vinda

Comunicação criptografada

Para informações sensíveis, você pode usar nossa chave PGP (disponível em breve).

Expectativas

O que esperamos de você:

  • Não explorar vulnerabilidades além do necessário para demonstrá-las
  • Não acessar, modificar ou deletar dados de outros usuários
  • Não realizar ataques de negação de serviço (DoS/DDoS)
  • Não divulgar publicamente antes de darmos tempo para corrigir
  • Agir de boa-fé durante todo o processo

O que você pode esperar de nós:

  • Confirmação em 48h - Acusaremos recebimento do seu relato
  • Atualizações regulares - Manteremos você informado do progresso
  • Correção em tempo razoável - Priorizaremos baseado na severidade
  • Crédito público - Com sua autorização, reconheceremos sua contribuição
  • Sem ações legais - Se você seguir esta política, não tomaremos ações contra você

Fora do Escopo

Os seguintes itens geralmente não são considerados vulnerabilidades válidas:

  • Ataques de engenharia social (phishing de funcionários)
  • Ataques físicos contra infraestrutura
  • Vulnerabilidades em serviços de terceiros
  • Falta de headers HTTP não relacionados a segurança
  • Divulgação de versões de software (sem exploit demonstrado)
  • Problemas de rate limiting em endpoints não-críticos
  • SPF/DKIM/DMARC mal configurados (sem demonstração de impacto)
  • Self-XSS (requer ações irrealistas do usuário)
  • Logout CSRF

Safe Harbor

Compromisso de proteção

Se você seguir esta política de divulgação responsável, nos comprometemos a:

  • Não iniciar ações legais contra você
  • Trabalhar com você para entender e resolver o problema
  • Reconhecer sua contribuição (se desejado)

Consideramos pesquisa de segurança conduzida de acordo com esta política como:

  • Autorizada sob leis de acesso a computadores
  • Isenta de restrições da LGPD que possam impedir pesquisa de segurança
  • Conduzida de boa-fé