Política de divulgação de vulnerabilidades
Reportar uma vulnerabilidade
Se você descobrir uma vulnerabilidade de segurança no bloodless.org, pedimos que a reporte de forma responsável. Envie-nos um e-mail com uma descrição do problema, os passos para reproduzi-lo e qualquer evidência de suporte. Confirmaremos o recebimento do seu relatório e trabalharemos para resolvê-lo prontamente.
Dentro do escopo
Estamos interessados em vulnerabilidades que afetam a segurança, privacidade ou integridade dos dados dos usuários no bloodless.org. Isso inclui, mas não se limita a:
- Cross-site scripting (XSS) — especialmente crítico dado nosso modelo de criptografia do lado do cliente
- Bypass de autenticação ou autorização
- Injeção do lado do servidor (SQL, comandos, templates)
- Fraquezas na implementação da criptografia do lado do cliente
- Acesso não autorizado a dados de usuários ou blobs criptografados
Fora do escopo
- Ataques de negação de serviço (DoS/DDoS)
- Ataques de engenharia social contra funcionários ou usuários
- Campanhas de phishing
- Ataques de força bruta contra senhas de acesso dos usuários (este é um risco conhecido e documentado em nosso modelo de ameaças)
Compromissos de resposta
- Confirmar o recebimento do seu relatório dentro de 48 horas
- Classificar e avaliar a severidade dentro de 7 dias
- Fornecer atualizações de status enquanto trabalhamos em uma correção
- Dar crédito a você em nossa divulgação (a menos que prefira permanecer anônimo)
Nosso modelo de criptografia
O bloodless.org utiliza criptografia do lado do cliente (AES-256-GCM) para todo o conteúdo de diretivas médicas. O servidor armazena apenas blobs criptografados opacos que não pode ler. Nossa fronteira de segurança mais crítica é o navegador — qualquer vulnerabilidade que possa expor conteúdo descriptografado no DOM ou burlar nossa Política de Segurança de Conteúdo é tratada com a maior severidade.
Diretrizes para pesquisadores
- Não acesse, modifique ou exclua dados de outros usuários
- Não tente acessar contas que não pertencem a você
- Não divulgue publicamente vulnerabilidades antes que tenhamos tido uma oportunidade razoável de abordá-las
- Não tomaremos ações legais contra pesquisadores que atuem de boa-fé e sigam estas diretrizes