Segurança - BerryAnimes

Resumo rápido: relatórios legítimos de segurança são bem-vindos. Pedimos reprodução responsável, mínimo impacto operacional e envio de evidências objetivas.

1. Como reportar

Se você identificar comportamento que afete confidencialidade, integridade, disponibilidade, autenticação, autorização ou exposição indevida de dados, reporte diretamente pelos canais oficiais.

Canal principal [email protected] Use o assunto [Security] para priorização.

Canal institucional alternativo [email protected] Para follow-up, documentação legal ou escalonamento.

Inclua no reporte: URL afetada, impacto real, passos para reproduzir, prova de conceito mínima, IP aproximado/horário se relevante e o menor volume de dados sensíveis possível.

2. O que está em escopo

Em escopo

Bypass de autenticação, sessão ou permissão.
Exposição indevida de dados pessoais ou administrativos.
SSRF, RCE, SQLi, LFI/RFI, path traversal e IDOR com impacto real.
Falhas de upload, execução, storage ou proxy que permitam abuso do serviço.
CSRF com efeito real em conta, pagamento ou painel administrativo.

Fora de escopo

Spam automatizado, brute force em massa e DoS deliberado.
Clickjacking sem impacto prático adicional.
Problemas que dependem de navegador desatualizado ou software do usuário.
Relatórios sem prova reproduzível ou baseados só em fingerprinting passivo.
Questões puramente reputacionais sem indício técnico concreto.

3. Safe harbor e expectativas

Teste apenas o necessário para demonstrar a falha, sem degradar o serviço ou acessar dados de terceiros além do estritamente indispensável.
Não publique detalhes técnicos antes da correção ou de alinhamento explícito com a equipe.
Não utilize engenharia social contra equipe, provedores, moderadores ou usuários.
Não persista payloads destrutivos, backdoors, shells, criptominers ou rotinas de exfiltração.

4. Janela de resposta

Etapa	Objetivo
Confirmação inicial	Acusar recebimento e classificar o relato em até 72 horas úteis, sempre que possível.
Triage técnica	Validar impacto, severidade e reproduzir com o menor risco operacional possível.
Correção	Aplicar mitigação, correção ou contenção conforme criticidade, janelas de deploy e dependências.
Retorno final	Informar status, resolução ou justificativa de não aceitação do relatório.

5. Criptografia para relatos sensíveis

A chave pública de criptografia para relatos sensíveis está publicada no endpoint abaixo:

https://berryanimes.com/.well-known/pgp-key.txt

Antes de enviar conteúdo sensível, confirme a fingerprint oficial da chave:

C525 071D 7050 8A78 10C3 89D8 315A 1154 E792 D7F2

Se você não puder usar OpenPGP, envie o contato inicial pelos canais acima com o mínimo de dados sensíveis necessário e aguarde orientação da equipe.

Importante: não anexe dumps completos, bases inteiras, tokens ativos, senhas ou arquivos de terceiros sem alinhamento prévio com a equipe.

6. Sinais públicos de segurança

security.txt publicado HSTS habilitado no edge TLS 1.3 habilitado no edge Automatic HTTPS Rewrites ativo Certificate Transparency Monitoring ativo

7. Reconhecimento

Relatórios responsáveis e úteis podem ser reconhecidos publicamente, desde que o pesquisador queira, não haja impedimento legal e a divulgação aconteça somente após mitigação adequada.

Última atualização: 9 de abril de 2026.

Segurança e divulgação responsável