Pular para o conteúdo
MorarFora MorarFor

Política de Segurança

Última atualização: abril de 2026

Se você encontrou uma vulnerabilidade de segurança no MorarFora, obrigado por nos avisar de forma responsável. Esta página descreve como reportar, o que está dentro do escopo e o que esperar do nosso retorno.

Como reportar

Envie um email para caiodifelicecunha@gmail.com com o assunto [Segurança] Resumo curto da vulnerabilidade. Inclua, sempre que possível:

  • Descrição da vulnerabilidade e do impacto potencial.
  • Passos para reproduzir (URLs afetadas, payloads, condições).
  • Versões de navegador / SO usadas no teste.
  • Sua preferência sobre divulgação pública e crédito.

A confirmação de recebimento chega em até 5 dias úteis. O canal preferido é o email — abra issues no GitHub apenas para problemas que não sejam de segurança.

Escopo

Dentro do escopo:

  • blogmorarfora.com e todos os seus subcaminhos.
  • Endpoint de inscrição na newsletter.
  • Conteúdos servidos a partir de /.well-known/.

Fora do escopo:

  • Provedores terceiros que hospedam ou processam dados — Vercel, Resend, Upstash, Plausible. Reporte vulnerabilidades nestes serviços diretamente aos seus respectivos times.
  • Engenharia social do mantenedor, contribuidores ou família.
  • Falhas de configuração já documentadas em Privacidade (ex.: ausência de bug bounty pago).

O que não fazer

  • Não execute scans automatizados que gerem picos de tráfego (rate-limit, DoS funcional). Testes manuais ou proof-of-concept contidos são bem-vindos.
  • Não faça exfiltração de dados além do necessário para demonstrar a vulnerabilidade. Se você acessou dados que não deveria, apague-os imediatamente e descreva no relatório.
  • Não divulgue publicamente antes de termos tido tempo razoável para corrigir — sugerimos 90 dias como padrão, negociável caso a caso.

Reconhecimento

O MorarFora é um projeto independente, não-comercial, e não oferece recompensa em dinheiro. Se você consentir, reconhecemos publicamente sua contribuição em uma seção Agradecimentos nesta página após a correção do problema.

Agradecimentos

Ainda nenhum reporte público. Esta seção será preenchida conforme pesquisadores consentirem com o crédito.

Este documento implementa a convenção RFC 9116 (security.txt) — o arquivo correspondente está em /.well-known/security.txt.