Encontrou algo.
Aqui está o que fazer.
O Serafim constrói ferramentas de segurança. Vulnerabilidades em ferramentas de segurança têm consequências reais. Levamos cada relatório a sério — e temos um processo documentado para garantir que o problema seja resolvido antes de virar notícia.
"Pesquisadores que reportam responsavelmente não são ameaças. São aliados."
Esta política de CVD cobre todos os sistemas e serviços operados pelo Serafim Intelligence, incluindo produtos voltados ao público, infraestrutura de suporte e APIs de integração. Pesquisadores que encontrarem vulnerabilidades em qualquer um dos ativos abaixo estão explicitamente convidados a reportar pelo canal descrito nesta página.
- serafimweb.com e todos os subdomínios
- Plataforma Blindagem Web — painel, APIs públicas, scans N1→N4
- BatBot — API de monitoramento e endpoints de alerta
- Oráculo — serviço de análise de URLs (app e API)
- Olho do Pai — app Android, PWA e API de rastreamento
- VidGI — API de classificação de eventos (quando exposta externamente)
- Serafim Studio — sistemas de entrega ao cliente
- Ataques de negação de serviço (DoS/DDoS)
- Engenharia social contra funcionários ou clientes
- Acesso físico a infraestrutura
- Vulnerabilidades em sistemas de terceiros que hospedam nossos serviços
- Scanning massivo não autorizado contra clientes da plataforma
- Vulnerabilidades sem evidência de impacto real (teoria apenas)
Envie um relatório detalhado para security@serafimweb.com com as informações abaixo. Quanto mais completo o relatório, mais rápida a triagem. Aceita-se português ou inglês.
URL ou nome do produto, endpoint afetado, versão (quando aplicável).
Ex: https://app.blindagem.serafimweb.com/api/scan
Tipo de vulnerabilidade (OWASP, CVE category, ou descrição livre), impacto potencial, e se possível a classificação de severidade pela sua análise.
Passos de reprodução, screenshots, PoC code, payloads, requisições HTTP completas (com cabeçalhos). Sem evidência, a triagem leva mais tempo.
Deseja crédito público após correção? Prefere anonimato? Tem prazo interno para publicação? Essas informações entram na coordenação do disclosure.
Todo relatório recebe resposta. O processo abaixo é o compromisso do Serafim para cada report recebido dentro do escopo desta política.
Acuse de recebimento automático seguido de confirmação humana. O relatório entra na fila de triagem imediatamente.
Os scans N1→N4 da Blindagem Web e o monitoramento do BatBot frequentemente identificam vulnerabilidades em sistemas de terceiros — hosting providers, CMS, bibliotecas desatualizadas, APIs abertas. Esta seção define o comportamento padrão do Serafim nesses casos.
Para clientes diretos: toda vulnerabilidade descoberta no escopo contratado é reportada ao cliente no relatório técnico e no relatório CEO em até 24h da identificação, com classificação CVSSv3, impacto estimado e recomendação de remediação.
Para terceiros identificados em scans de superfície: o Serafim segue o princípio do aviso responsável. Se um sistema crítico for identificado com exposição grave (CVSS ≥ 7.0), notificamos o responsável via abuse contact ou canal de segurança público antes de qualquer divulgação, respeitando o mesmo prazo de 90 dias desta política.
Cadeia de custódia: toda evidência coletada nos scans é armazenada com timestamp RFC 3161 e hash SHA-256. Relatórios emitidos ao cliente carregam certificado de integridade verificável.
O Serafim classifica toda inteligência produzida e recebida segundo o padrão TLP. Pesquisadores que enviarem relatórios com classificação TLP explícita terão essa preferência respeitada.
| NÍVEL | DISTRIBUIÇÃO | QUANDO USAMOS |
|---|---|---|
| TLP:WHITE | Distribuição irrestrita. Pode ser publicado. | Relatórios de divulgação pós-correção, boletins de inteligência gerais, documentos institucionais. |
| TLP:GREEN | Comunidade de segurança. Não para imprensa geral. | Feeds de IoCs compartilhados com parceiros FIRST/CERT.br, alertas setoriais. |
| TLP:AMBER | Organização receptora. Não circular externamente. | Relatórios técnicos entregues a clientes, vulnerabilidades em triagem ativa, threat briefings. |
| TLP:RED | Destinatário individual. Nenhuma distribuição. | Inteligência sensível de campanha ativa, IoCs de atacante específico não público, evidências sob sigilo judicial. |
Pesquisadores que agirem de boa fé dentro do escopo desta política têm a garantia formal do Serafim de que suas atividades de pesquisa não serão tratadas como atos hostis ou ilegais, desde que as condições abaixo sejam respeitadas.
O Serafim compromete-se a não iniciar ação legal contra pesquisadores que: reportem por este canal sem explorar a vulnerabilidade além do necessário para demonstrar o impacto; não destruam dados, não comprometam disponibilidade de serviços, e não acessem dados de usuários em volume. A pesquisa deve ser limitada ao mínimo necessário para provar o risco.
Esta proteção é válida independentemente de o pesquisador ter conta na plataforma ou ter encontrado a vulnerabilidade durante um escopo de trabalho de terceiros, desde que o sistema afetado seja listado no escopo desta política.
Em caso de dúvida sobre se uma ação específica está coberta pelo safe harbor, pergunte antes de executar: security@serafimweb.com.
"Construímos sistemas que procuram falhas em outros sistemas. Seria incoerente recusar que alguém encontre as nossas. A diferença entre um atacante e um pesquisador é o que fazem com o que encontram."
Respondemos.
Canal exclusivo de segurança. SLA de 24h para acuse de recebimento. Relatórios válidos recebem resposta técnica — não uma resposta automática de marketing.