Política de Divulgação de Vulnerabilidades — ScamLens
Última atualização: 2026-04-16
Escopo
Esta política cobre pesquisas de segurança realizadas contra ativos sob:
*.scamlens.org- Extensão ScamLens para Chrome (Chrome Web Store ID: OrangeDuck)
- API pública ScamLens (
api.scamlens.org)
Serviços de terceiros (Stripe, Google Auth, Cloudflare, Brevo, Resend) estão fora do escopo — reporte diretamente a esses fornecedores.
Porto seguro
Não tomaremos medidas legais contra pesquisadores que:
- Ajam de boa-fé e cumpram esta política
- Não acessem, modifiquem ou exfiltrem dados além do necessário para demonstrar a vulnerabilidade
- Não interrompam serviços nem degradem a experiência do usuário
- Reportem prontamente e mantenham a confidencialidade até a remediação
Fora do escopo
- Negação de serviço / testes de carga contra produção
- Engenharia social a equipe ou usuários
- Ataques físicos
- Relatórios de scanners automatizados sem impacto confirmado
- Self-XSS e clickjacking em páginas sem estado sensível
- Cabeçalhos de melhores práticas ausentes em ativos estáticos (já rastreado internamente)
Como reportar
Envie um e-mail para security@scamlens.org com:
- Título e ativo afetado
- Passos para reproduzir (claros, mínimos)
- Análise de impacto (o que um atacante poderia alcançar)
- Remediação sugerida (opcional)
Confirmamos em até 48 horas. Metas de remediação: Crítico 7 dias, Alto 14 dias, Médio 30 dias, Baixo melhor esforço.
Reconhecimento
Relatórios validados são reconhecidos na página de agradecimentos de segurança com seu nome preferido (ou anonimamente se solicitado).