← Voltar ao site

Política de Segurança

Responsible Disclosure · GBBOT v1.4

Levamos segurança a sério. Se você é pesquisador, dev ou usuário curioso e identificou uma vulnerabilidade no GBBOT, esta página explica como reportar de forma responsável e o que esperar em troca.

1. Sobre essa página

Esta é a política pública de divulgação responsável (Responsible Disclosure) do GBBOT. Se você encontrou um bug de segurança (não funcional, não cosmético), aqui está como nos avisar com segurança — pra que possamos corrigir antes que terceiros explorem.

Não temos programa pago de bug bounty no momento, mas levamos cada reporte a sério, agradecemos publicamente quem ajuda (com permissão) e priorizamos correções de acordo com a severidade.

Esta página é a versão para humanos. A versão para máquinas (crawlers automáticos de pesquisadores) está em /.well-known/security.txt e segue o padrão RFC 9116 — ver seção 7.

2. Como reportar uma vulnerabilidade

Use um destes canais, em ordem de preferência:

Email (preferencial)
suporte@gbbot.com.br
Formulário /bug
Anexa prints, requer login Discord

Inclua no seu reporte

  • Descrição clara da vulnerabilidade e do impacto potencial.
  • Passos para reproduzir — comandos, URLs, requisições HTTP, payloads.
  • Versão/data em que testou e o navegador/cliente usado.
  • Prints ou vídeo demonstrando o problema (opcional, mas ajuda muito).
  • Sua sugestão de fix (opcional).

Se preferir comunicação criptografada, peça nossa chave PGP por email.

3. Escopo

No escopo
  • gbbot.com.br + subdomínios
  • painel.gbbot.com.br
  • api.gbbot.com.br
  • Lojas em <slug>.gbbot.com.br
  • Bot Discord oficial GBBOT
Fora do escopo
  • Discord.com (reporte ao próprio Discord)
  • Asaas (reporte ao Asaas)
  • Vulnerabilidades já conhecidas em deps
  • Falhas que exigem acesso físico ao dispositivo
  • Bugs cosméticos sem impacto de segurança

4. Regras de pesquisa responsável

Pra que sua pesquisa seja considerada de boa-fé (good faith) e você não incorra em problemas legais:

  • Pode: testar em conta própria, em servidor Discord que você administra, com dados próprios. Documentar o problema. Avisar a gente antes de qualquer divulgação pública.
  • Não pode: acessar dados de outros usuários sem permissão, modificar ou deletar dados que não são seus, fazer DDoS, social engineering com nossa equipe, vazar a vulnerabilidade antes da correção, exigir pagamento como condição pra reportar.
  • !Em caso de dúvida sobre o impacto: pare e nos avise. Preferimos reportes "talvez seja problema" do que descoberta destrutiva.

Safe Harbor: não tomaremos ação legal contra pesquisadores que sigam estas regras e reportem responsavelmente. Atuações de boa-fé são bem-vindas.

5. Tempo de resposta

Quando você reporta, a gente compromete:

  • Confirmação de recebimento em até 48 horas (corridas).
  • Validação inicial (é vulnerabilidade real? qual a severidade?) em até 7 dias.
  • Plano de correção comunicado conforme criticidade: crítico ≤ 72h, alto ≤ 14 dias, médio ≤ 30 dias, baixo ≤ 90 dias.
  • Confirmação da correção com você antes da divulgação pública, se aplicável.

6. Reconhecimento

Não temos programa monetário de bug bounty no momento. O que oferecemos:

  • Agradecimento público (com sua permissão) em hall of fame futuro.
  • Licença Elite gratuita por tempo proporcional à criticidade do bug encontrado.
  • Cargo especial no servidor de suporte oficial.
  • Carta de recomendação formal pra quem solicitar (pesquisadores buscando portfólio).

7. Sobre o security.txt (RFC 9116)

O arquivo em /.well-known/security.txt segue um padrão internacional chamado RFC 9116. Ele existe pra que crawlers automáticos de pesquisadores de segurança (e ferramentas tipo Hackerone, Bugcrowd, scanners) encontrem nosso contato de forma padronizada — sem precisar caçar email no site.

Por isso é plain text e parece "feio" — ele não foi feito pra ser lido por humanos no navegador. Você está vendo a versão humana agora.

$ curl https://gbbot.com.br/.well-known/security.txt
Contact: mailto:suporte@gbbot.com.br
Contact: https://gbbot.com.br/bug
Expires: 2027-05-11T00:00:00.000Z
Preferred-Languages: pt-BR, en
Canonical: https://gbbot.com.br/.well-known/security.txt
Policy: https://gbbot.com.br/seguranca

Se quiser saber mais sobre o padrão: securitytxt.org →

← Ver Termos de UsoGBBOT v1.4 · © 2026 Gaming Bunker. Todos os direitos reservados.Ver Privacidade →