Segurança

Última atualização: 15 de março de 2026

A segurança deste site e a privacidade dos seus utilizadores é importante para nós. Acolhemos divulgação responsável de vulnerabilidades de segurança por parte de investigadores de segurança, programadores e membros do público.

Esta página descreve a nossa política de divulgação responsável — como reportar uma vulnerabilidade, o que está dentro do âmbito e como vamos responder. Pedimos que siga estas diretrizes ao investigar e reportar potenciais problemas de segurança.

Reportar uma vulnerabilidade

Se descobriu uma vulnerabilidade de segurança, reporte-a por e-mail. Não divulgue a vulnerabilidade publicamente até termos tido uma oportunidade razoável de investigar e resolver o problema.

contact@freeonlinenosignup.com

Inclua "Security Vulnerability Report" no assunto e forneça o máximo possível do seguinte:

  • Uma descrição clara da vulnerabilidade e do seu potencial impacto
  • O URL, endpoint ou componente afetado
  • Instruções passo a passo para reproduzir o problema
  • Qualquer código de prova de conceito, capturas de ecrã ou exemplos de pedido/resposta
  • O seu nome ou alias, se quiser ser creditado (opcional)

Âmbito

Os seguintes itens são considerados dentro do âmbito para divulgação responsável:

  • Cross-site scripting (XSS)
  • Cross-site request forgery (CSRF)
  • Vulnerabilidades de injeção no servidor (injeção SQL, injeção de comandos, etc.)
  • Bypass de autenticação ou autorização
  • Exposição de dados sensíveis ou fuga de informação
  • Configurações de segurança incorretas que possam ser exploradas por um atacante
  • Redirecionamentos abertos que possam ser usados em ataques de phishing
  • Insecure direct object references
  • Execução remota de código

Fora do âmbito

Os seguintes itens são considerados fora do âmbito e não serão aceites como relatórios válidos de vulnerabilidades:

  • Ataques ou testes de negação de serviço (DoS ou DDoS)
  • Ataques de força bruta contra qualquer parte do site
  • Scans automatizados sem autorização prévia por escrito
  • Engenharia social ou ataques de phishing direcionados aos nossos utilizadores ou equipa
  • Problemas de segurança física
  • Vulnerabilidades em serviços, bibliotecas ou infraestrutura de terceiros que não estejam diretamente sob o nosso controlo — reporte-as ao fornecedor relevante
  • Cabeçalhos de segurança em falta que não apresentem uma vulnerabilidade demonstrável e explorável neste contexto específico
  • Vulnerabilidades teóricas sem prova de conceito funcional ou impacto demonstrado
  • Problemas que exijam que o utilizador já tenha comprometido o seu próprio dispositivo ou navegador

O que pode esperar

Quando submeter um relatório de vulnerabilidade, eis o que pode esperar de nós:

1

Confirmação

Confirmaremos a receção do seu relatório no prazo de 3 dias úteis.

2

Investigação

Vamos investigar o relatório e avaliar a validade e a gravidade do problema. Podemos fazer perguntas adicionais se precisarmos de mais informação.

3

Resolução

Para vulnerabilidades confirmadas, vamos trabalhar para resolver o problema o mais rapidamente possível, dando prioridade de acordo com a gravidade. Mantê-lo-emos informado sobre o progresso.

4

Divulgação

Depois de o problema ser resolvido, teremos todo o gosto em coordenar a divulgação pública consigo, se desejar. Pedimos que nos permita um período razoável de remediação antes de publicar quaisquer detalhes.

Os nossos compromissos

Quando reporta uma vulnerabilidade de boa-fé e de acordo com esta política, comprometemo-nos a:

  • Não iniciar ações legais contra si em ligação com a sua investigação
  • Tratar o seu relatório de forma confidencial e não partilhar os seus dados pessoais sem o seu consentimento
  • Mantê-lo informado sobre o estado do problema
  • Dar crédito pela descoberta se desejar e se o problema for confirmado
  • Trabalhar para corrigir vulnerabilidades confirmadas em tempo útil

Em troca, pedimos que não aceda, modifique ou elimine dados que não sejam seus; que não perturbe a disponibilidade do site; e que não realize testes em contas ou dados pertencentes a outros utilizadores.

Contacto

Para perguntas gerais sobre esta política que não sejam relatórios de vulnerabilidades, use a página de contacto. Para relatórios de erros não relacionados com segurança, use a página reportar problema.