Divulgação de Segurança

Reportar uma vulnerabilidade

Caso acredite ter descoberto uma vulnerabilidade de segurança que afete bitvps.io ou a infraestrutura subjacente, reporte-a por um dos seguintes canais:

E-mail — us, preferencialmente criptografado por PGP com nossa chave pública.
security.txt — contato legível por máquina em /.well-known/security.txt conforme RFC 9116.
HackerOne privado — mediante convite; mencione seu usuário no HackerOne no e-mail inicial.

Por favor, não reporte vulnerabilidades por canais públicos (issues no GitHub, Twitter, Mastodon, chamados de suporte) antes que tenhamos tido a oportunidade de responder.

Escopo

Dentro do escopo

A propriedade web bitvps.io e todos os subdomínios.
O painel de controle do cliente (panel.bitvps.io).
O diretório /.well-known/ e seu conteúdo assinado.
Bugs de escape de hipervisor, host-para-guest, guest-para-guest e migração ao vivo que afetem nossa malha KVM.
Contornos de autenticação / autorização no painel ou em seu fluxo OAuth.
Exposição de PII de clientes ou dados de pagamento.

Fora do escopo

Conteúdo hospedado pelo cliente ou serviços operados pelo cliente em nossa infraestrutura — entre em contato diretamente com o cliente ou use abuse@.
Testes de negação de serviço contra nossa infraestrutura.
Engenharia social dirigida à nossa equipe.
Descobertas de scanners automatizados sem impacto demonstrável.
Cabeçalhos de segurança ausentes que não levem diretamente a uma vulnerabilidade.
Versões de software desatualizadas em superfícies de marketing sem exploit funcional.

O que acontece após o relato

Confirmação em até 24 horas, 7 dias por semana. Assinada por PGP.
Triagem em até 72 horas — avaliação de gravidade e prazo inicial de remediação.
Correção e verificação — aplicamos a correção, solicitamos sua verificação e, em seguida, implantamos em produção.
Divulgação coordenada — acordada com você, geralmente 90 dias após o lançamento da correção. Publicaremos um post-mortem com crédito a você (ou de forma anônima, mediante solicitação).
Recompensa — consulte a seção de Recompensas abaixo.

Escala de recompensas

Pagável em USD (via transferência bancária) ou na criptomoeda de sua escolha (BTC, XMR, ETH, USDT, USDC, SOL, LTC, XRP, TRX, TON, DOGE, POL, BCH, DASH, ZEC ou outra) pela taxa spot no dia da premiação.

Gravidade (CVSS v3.1)	Recompensa	Exemplo
Crítica (9,0 – 10,0)	$5.000 – $15.000	Escape de hipervisor, RCE no painel, exfiltração em massa de PII
Alta (7,0 – 8,9)	$1.500 – $5.000	RCE autenticado, escalada de privilégios no painel, SSRF para rede interna
Média (4,0 – 6,9)	$300 – $1.500	XSS armazenado no painel, IDOR expondo dados não PII
Baixa (0,1 – 3,9)	$50 – $300	Redirecionamento aberto, limitação de taxa ausente sem impacto direto

Relatórios duplicados são premiados com base na primeira submissão válida. A maior recompensa paga até o momento foi de $12.000 (2025-09-11, TOCTOU de migração ao vivo de hipervisor). Todos os pesquisadores válidos são listados no Hall da Fama mediante opt-in.

Porto seguro

Pesquisas conduzidas dentro do escopo e do espírito desta política não são consideradas acesso não autorizado sob a lei de Saint Kitts ou a lei de nossas jurisdições operacionais, e não moveremos ação cível ou criminal contra pesquisadores que atuem de boa-fé. Especificamente:

Não exfiltre mais dados do que o necessário para demonstrar o impacto — uma única captura de tela é suficiente.
Não execute ações destrutivas (exclusão de dados de clientes, interrupção de serviços, modificação do estado de produção).
Encerre e reporte assim que o impacto for demonstrado.
Não compartilhe descobertas com terceiros antes da data de divulgação coordenada.

Caso acidentalmente extrapole o escopo — com intenção de boa-fé — entre em contato conosco imediatamente e resolveremos juntos.

Este documento está v2.0, em vigor 2026-04-01, última atualização 2026-04-22. Versão assinada com PGP disponível sob solicitação em us.