Se encontrares uma vulnerabilidade, envia-nos um email para contact@apita.app. Não existe programa de bug bounty pago nesta fase.
1. Reportar vulnerabilidades#
Inclui uma descrição clara, passos para reproduzir, impacto esperado, URL afetado e capturas de ecrã quando forem úteis. Evita enviar dados pessoais de terceiros; se forem inevitáveis, minimiza-os.
2. Escopo permitido#
- Testa apenas contas, grupos e dados que controlas.
- Não explores falhas para aceder a contas de terceiros.
- Não faças ataques de negação de serviço, spam ou scraping pesado.
- Não publiques detalhes antes de termos tempo razoável para corrigir.
3. Como protegemos a app#
- Autenticação e sessões geridas pelo Supabase Auth.
- Row Level Security na base de dados para separar dados por utilizador e grupo.
- Chaves de serviço apenas no servidor, nunca em componentes de cliente.
- Segredos fora do repositório e configurados no ambiente de produção.
- Registos de erro opcionais e configurados para evitar identificação do utilizador.
4. Segurança da tua conta#
Usa uma palavra-passe forte e única ou entra com Google. Se suspeitares que alguém acedeu à tua conta, altera a palavra-passe, termina a sessão nos dispositivos que não reconheces e contacta-nos.
5. Resposta#
Tentamos confirmar receção em até 72 horas e priorizar correções pelo impacto real nos utilizadores. Podemos pedir informação adicional para validar o relatório.