$ cat /etc/internalhost/responsible-disclosure

Responsible disclosure

Versão 1.0 · Última atualização: 19-05-2026 · machine-readable: /.well-known/security.txt

Encontraste um bug, uma vulnerabilidade ou abuso? Diz-nos. Valorizamos a divulgação responsável e respondemos em 48 horas — normalmente antes.

Como reportar

  • Email: [email protected] — preferido para relatórios escritos com PoC reproduzível.
  • Signal: link no rodapé. Para triagem em tempo real ou quando está a ser explorado ativamente.
  • PGP: ainda não publicada. Será publicada assim que começarmos a receber relatórios realmente sensíveis.

Inclui no teu relatório, no mínimo: passos para reproduzir, estimativa de impacto, URL/hostname afetado e os teus dados de contacto para seguimento.

No âmbito

  • Infraestrutura de produção: *.internalhost.eu e tudo encaminhado via AS204729 ().
  • Portal do cliente: este site (Paymenter).
  • Infraestrutura de correio: mail.internalhost.eu, mx2.internalhost.eu.
  • O nosso código-fonte público em github.com/internalhost-eu.

Fora do âmbito

  • Servidores de clientes (VPS / dedicados / colocação): pertencem aos nossos clientes. Sem testes sem autorização escrita do proprietário. Reservamo-nos o direito de denunciar à polícia investigações não autorizadas em IPs de clientes.
  • Denial of Service e ataques volumétricos.
  • Spam, phishing, engenharia social contra a nossa equipa ou clientes.
  • Problemas teóricos sem uma Proof of Concept funcional.
  • Resultados de scanners automáticos sem verificação manual ("o teu SSL não dá A+ no Qualys" não é uma vulnerabilidade).
  • Problemas upstream em projetos open source (Laravel, Filament, Paymenter, CloudPanel, etc.) — reporta diretamente a quem pertence.

Com o que nos comprometemos

  • Respondemos em 48 horas, normalmente em 8 horas úteis.
  • Investigamos a sério e mantemos-te informado do progresso.
  • Não tomamos ações legais contra investigadores de boa-fé que sigam esta política.
  • Falhas confirmadas ganham menção no hall of fame (se quiseres) e um agradecimento pessoal no Signal do Nick.
  • Corrigimos vulnerabilidades antes da divulgação pública. Janela por defeito: 90 dias após confirmação, menos quando explorada ativamente.

O que não oferecemos

Sem programa de bug-bounty com recompensas em dinheiro. Somos uma equipa pequena. O que recebes:

  • Crédito público nesta página (ou anónimo, decides tu).
  • Merch da InternalHost (quando houver).
  • Uma conversa sobre o bug em si, não sobre prioridades ditadas por gestores.

Hall of fame

Investigadores que nos ajudaram. Obrigado.

Vazio por agora — sê o primeiro.