cryptoservers.io
Lançar servidor

Divulgação de Segurança

Como reportar uma vulnerabilidade de segurança em nossa infraestrutura ou serviços e o que acontece a seguir.

Em vigor 2026-04-01 Última atualização 2026-04-22 Versão v2.0 Assinado com 0xA62AEDAF647EE3E6
Cryptoservers legal and policy seal

Reportar uma vulnerabilidade

Caso acredite ter descoberto uma vulnerabilidade de segurança que afete cryptoservers.io ou a infraestrutura subjacente, reporte-a por um dos seguintes canais:

Por favor, não reporte vulnerabilidades por canais públicos (issues no GitHub, Twitter, Mastodon, chamados de suporte) antes que tenhamos tido a oportunidade de responder.

Escopo

Dentro do escopo

  • A propriedade web cryptoservers.io e todos os subdomínios.
  • O painel de controle do cliente (panel.cryptoservers.io).
  • O diretório /.well-known/ e seu conteúdo assinado.
  • Bugs de escape de hipervisor, host-para-guest, guest-para-guest e migração ao vivo que afetem nossa malha KVM.
  • Contornos de autenticação / autorização no painel ou em seu fluxo OAuth.
  • Exposição de PII de clientes ou dados de pagamento.

Fora do escopo

  • Conteúdo hospedado pelo cliente ou serviços operados pelo cliente em nossa infraestrutura — entre em contato diretamente com o cliente ou use abuse@.
  • Testes de negação de serviço contra nossa infraestrutura.
  • Engenharia social dirigida à nossa equipe.
  • Descobertas de scanners automatizados sem impacto demonstrável.
  • Cabeçalhos de segurança ausentes que não levem diretamente a uma vulnerabilidade.
  • Versões de software desatualizadas em superfícies de marketing sem exploit funcional.

O que acontece após o relato

  1. Confirmação em até 24 horas, 7 dias por semana. Assinada por PGP.
  2. Triagem em até 72 horas — avaliação de gravidade e prazo inicial de remediação.
  3. Correção e verificação — aplicamos a correção, solicitamos sua verificação e, em seguida, implantamos em produção.
  4. Divulgação coordenada — acordada com você, geralmente 90 dias após o lançamento da correção. Publicaremos um post-mortem com crédito a você (ou de forma anônima, mediante solicitação).
  5. Recompensa — consulte a seção de Recompensas abaixo.

Escala de recompensas

Pagável em USD (via transferência bancária) ou na criptomoeda de sua escolha (BTC, XMR, LTC, ETH, DASH, BCH, DOGE) pela taxa spot no dia da premiação.

Gravidade (CVSS v3.1)RecompensaExemplo
Crítica (9,0 – 10,0)$5.000 – $15.000Escape de hipervisor, RCE no painel, exfiltração em massa de PII
Alta (7,0 – 8,9)$1.500 – $5.000RCE autenticado, escalada de privilégios no painel, SSRF para rede interna
Média (4,0 – 6,9)$300 – $1.500XSS armazenado no painel, IDOR expondo dados não PII
Baixa (0,1 – 3,9)$50 – $300Redirecionamento aberto, limitação de taxa ausente sem impacto direto

Relatórios duplicados são premiados com base na primeira submissão válida. A maior recompensa paga até o momento foi de $12.000 (2025-09-11, TOCTOU de migração ao vivo de hipervisor). Todos os pesquisadores válidos são listados no Hall da Fama mediante opt-in.

Porto seguro

Pesquisas conduzidas dentro do escopo e do espírito desta política não são consideradas acesso não autorizado sob a lei de Saint Kitts ou a lei de nossas jurisdições operacionais, e não moveremos ação cível ou criminal contra pesquisadores que atuem de boa-fé. Especificamente:

  • Não exfiltre mais dados do que o necessário para demonstrar o impacto — uma única captura de tela é suficiente.
  • Não execute ações destrutivas (exclusão de dados de clientes, interrupção de serviços, modificação do estado de produção).
  • Encerre e reporte assim que o impacto for demonstrado.
  • Não compartilhe descobertas com terceiros antes da data de divulgação coordenada.

Caso acidentalmente extrapole o escopo — com intenção de boa-fé — entre em contato conosco imediatamente e resolveremos juntos.

Este documento está v2.0, em vigor 2026-04-01, última atualização 2026-04-22. Versão assinada com PGP disponível sob solicitação em [email protected].