Legal

Política de divulgação de vulnerabilidades

Reportar uma vulnerabilidade

Se você descobrir uma vulnerabilidade de segurança no bloodless.org, pedimos que a reporte de forma responsável. Envie-nos um e-mail com uma descrição do problema, os passos para reproduzi-lo e qualquer evidência de suporte. Confirmaremos o recebimento do seu relatório e trabalharemos para resolvê-lo prontamente.

Reportar para: security@bloodless.org

Dentro do escopo

Estamos interessados em vulnerabilidades que afetam a segurança, privacidade ou integridade dos dados dos usuários no bloodless.org. Isso inclui, mas não se limita a:

  • Cross-site scripting (XSS) — especialmente crítico dado nosso modelo de criptografia do lado do cliente
  • Bypass de autenticação ou autorização
  • Injeção do lado do servidor (SQL, comandos, templates)
  • Fraquezas na implementação da criptografia do lado do cliente
  • Acesso não autorizado a dados de usuários ou blobs criptografados

Fora do escopo

  • Ataques de negação de serviço (DoS/DDoS)
  • Ataques de engenharia social contra funcionários ou usuários
  • Campanhas de phishing
  • Ataques de força bruta contra senhas de acesso dos usuários (este é um risco conhecido e documentado em nosso modelo de ameaças)

Compromissos de resposta

  • Confirmar o recebimento do seu relatório dentro de 48 horas
  • Classificar e avaliar a severidade dentro de 7 dias
  • Fornecer atualizações de status enquanto trabalhamos em uma correção
  • Dar crédito a você em nossa divulgação (a menos que prefira permanecer anônimo)

Nosso modelo de criptografia

O bloodless.org utiliza criptografia do lado do cliente (AES-256-GCM) para todo o conteúdo de diretivas médicas. O servidor armazena apenas blobs criptografados opacos que não pode ler. Nossa fronteira de segurança mais crítica é o navegador — qualquer vulnerabilidade que possa expor conteúdo descriptografado no DOM ou burlar nossa Política de Segurança de Conteúdo é tratada com a maior severidade.

Diretrizes para pesquisadores

  • Não acesse, modifique ou exclua dados de outros usuários
  • Não tente acessar contas que não pertencem a você
  • Não divulgue publicamente vulnerabilidades antes que tenhamos tido uma oportunidade razoável de abordá-las
  • Não tomaremos ações legais contra pesquisadores que atuem de boa-fé e sigam estas diretrizes