Política de divulgação responsável

Como reportar vulnerabilidades de segurança ao RocketShare

Levamos a sério a segurança do RocketShare e os dados dos nossos utilizadores. Se descobrir uma vulnerabilidade de segurança, agradecemos a sua ajuda em divulgá-la de forma responsável.

Âmbito

Os seguintes elementos estão no âmbito desta política:

  • rocketshare.app — a aplicação web principal
  • Endpoints de API sob rocketshare.app
  • A implementação de encriptação do lado do cliente
  • Autenticação e gestão de sessões
  • Controlo de acesso e lógica de autorização

Como reportar

Envie as suas descobertas através do nosso formulário de contacto com o assunto "Relatório de Vulnerabilidade de Segurança". Por favor, inclua:

  • Uma descrição clara da vulnerabilidade
  • Passos para reproduzir o problema
  • O impacto potencial segundo a sua compreensão
  • Qualquer código de prova de conceito ou capturas de ecrã (se aplicável)
  • As suas informações de contacto para questões de acompanhamento

O que pedimos

  • Não divulgue publicamente a vulnerabilidade até termos tido uma oportunidade razoável de a corrigir
  • Não aceda, modifique ou elimine dados de outros utilizadores durante a sua investigação
  • Não execute ataques de negação de serviço ou testes que degradem o serviço para outros utilizadores
  • Não use ferramentas de análise automatizadas em grande escala contra sistemas de produção — teste manualmente ou use uma conta de teste pessoal
  • Aja de boa fé — faça um esforço genuíno para evitar violações de privacidade e perturbações

O que prometemos

  • Confirmação em 48 horas — confirmaremos a receção do seu relatório dentro de 2 dias úteis
  • Atualizações regulares — mantê-lo-emos informado do nosso progresso enquanto investigamos e corrigimos o problema
  • Prazo de correção razoável — pretendemos resolver vulnerabilidades confirmadas dentro de 90 dias, dependendo da complexidade
  • Crédito — com a sua permissão, creditá-lo-emos como relator quando divulgarmos a correção
  • Sem ação legal — não tomaremos ações legais contra investigadores que sigam esta política de boa fé

Sem recompensas financeiras

Neste momento, não oferecemos recompensas financeiras (bug bounties) por relatórios de vulnerabilidades. Oferecemos reconhecimento público e a nossa sincera gratidão por ajudar a manter o RocketShare seguro.

Fora do âmbito

Os seguintes elementos não são considerados vulnerabilidades no âmbito desta política:

  • Engenharia social — ataques de phishing ou pretexting contra a nossa equipa ou utilizadores
  • Negação de serviço (DoS/DDoS) — ataques volumétricos ou esgotamento de recursos
  • Serviços de terceiros — vulnerabilidades em serviços que usamos mas não controlamos (por ex., Cloudflare, processadores de pagamento)
  • Self-XSS — problemas que requerem que a vítima cole código na consola do navegador
  • Cabeçalhos de segurança em falta em páginas não sensíveis — a menos que levem a um exploit demonstrável
  • Limitação de taxa — ausência de limitação de taxa em endpoints não críticos
  • Divulgação de versão de software — informações de versão do servidor ou framework em cabeçalhos ou respostas
  • Falsificação de conteúdo — sem um impacto de segurança demonstrado

Esta política é efetiva desde fevereiro de 2026. Para questões sobre esta política, contacte-nos.