Crate.tf

Crate.tf

Política de Divulgação Responsável

Data de vigência: 28 de janeiro de 2026

Aviso sobre a tradução

Esta tradução é fornecida por conveniência. Em caso de conflito ou diferença de significado, a versão em inglês prevalece.

Crate.tf (“nós”, “nosso”) valoriza a segurança dos usuários e do nosso Serviço. Se você descobrir uma vulnerabilidade de segurança, agradecemos relatos responsáveis e de boa-fé para que possamos corrigi-la.

Esta política descreve como relatar vulnerabilidades e o que pedimos que você faça (e não faça) durante testes.

1) Escopo

Esta política se aplica a vulnerabilidades de segurança que afetem:

  • Crate.tf (site, APIs/endpoints e serviços de backend)
  • Infraestrutura do Crate.tf que dá suporte direto ao Serviço
  • Orquestração de trocas do Crate.tf (incluindo lógica de planejamento/reserva de transações)
  • Integração de bots pertencentes ao Crate.tf conforme exposta pelo nosso Serviço (não a própria Steam)

Fora do escopo (exemplos):

  • Vulnerabilidades em sistemas da Steam/Valve ou no cliente Steam
  • Problemas em serviços de terceiros que não controlamos (relate ao fornecedor)
  • Ataques de engenharia social contra usuários ou equipe
  • Ataques físicos, ataques a data center ou comprometimento de dispositivo
  • “Vulnerabilidades” que exigem credenciais válidas que não pertencem a você
  • Spam, self-XSS ou questões puramente teóricas sem impacto de segurança demonstrável

Se você não tiver certeza se algo está no escopo, relate mesmo assim - nós informaremos.

2) Como relatar uma vulnerabilidade

Relate problemas para:

  • Email: support@crate.tf
  • Assunto: Security report: breve descrição

Se email não for possível, você pode nos contatar pelo canal oficial de suporte no Discord, mas email é preferível para detalhes sensíveis.

Inclua o máximo que puder:

  • Uma descrição clara do problema e por que ele importa
  • Passos para reproduzir (prova de conceito ajuda)
  • URLs/endpoints afetados, parâmetros e amostras relevantes de requisição/resposta
  • Avaliação de impacto (o que um invasor poderia fazer?)
  • Capturas de tela ou logs, se relevantes
  • Sua informação de contato preferida (e se deseja crédito público)

3) Safe harbor para pesquisa de segurança de boa-fé

Não buscaremos ação legal contra você por pesquisa de segurança responsável e de boa-fé que cumpra esta política.

Para se qualificar ao safe harbor, você deve:

  • Fazer esforço de boa-fé para evitar violações de privacidade, destruição de dados e interrupção do serviço
  • Parar os testes e relatar prontamente assim que confirmar uma vulnerabilidade
  • Não usar a vulnerabilidade para obter vantagem injusta (incluindo ganho de itens) ou prejudicar terceiros
  • Não divulgar detalhes publicamente antes de termos uma oportunidade razoável de corrigir

Este safe harbor não se aplica a:

  • Qualquer atividade destinada a extorquir, ameaçar ou chantagear
  • Tentativas de acessar ou modificar dados que não são seus
  • Qualquer teste que degrade, interrompa ou negue serviço aos usuários
  • Qualquer teste que tenha como alvo sistemas de terceiros (Steam/Valve) ou viole suas regras

4) O que pedimos que você NÃO faça

Para proteger usuários e o Serviço, não faça:

  • Acessar, baixar ou divulgar dados pessoais ou dados de outros usuários
  • Tentar interceptar ou modificar transações de outros usuários
  • Explorar vulnerabilidades para obter itens TF2, chaves ou qualquer vantagem
  • Executar varreduras automatizadas, brute force, credential stuffing ou testes de negação de serviço
  • Usar bots/scripts para sobrecarregar endpoints, consulta de status ou endpoints de preços/catálogo
  • Divulgar vulnerabilidades publicamente antes de reconhecermos e corrigirmos
  • Aplicar engenharia social contra equipe ou usuários, ou tentar obter acesso privilegiado

5) Diretrizes de teste (o que É permitido)

Em geral, consideramos aceitável em boa-fé:

  • Testar contra sua própria conta e seus próprios dados
  • Demonstrações mínimas de prova de conceito que mostrem impacto sem prejudicar terceiros
  • Relatar problemas com detalhes suficientes para reproduzirmos e corrigirmos

Se precisar de uma conta de teste ou quiser coordenar um teste controlado, fale conosco primeiro.

6) Nosso processo e resposta

Nosso objetivo é:

  • Confirmar recebimento do relato em tempo razoável
  • Investigar e trabalhar em uma correção
  • Enviar atualizações de status quando prático
  • Dar crédito público se você solicitar e se for apropriado (opcional)

Como o Crate.tf é um projeto pequeno, prazos podem variar. Vulnerabilidades de alto impacto serão priorizadas.

7) Confidencialidade e divulgação pública

Mantenha os detalhes da vulnerabilidade confidenciais até que:

  • Confirmemos que o problema foi corrigido, ou
  • Digamos que a divulgação é permitida, ou
  • Um prazo razoável tenha passado sem resposta nossa (contate-nos novamente antes de publicar)

Se você pretende publicar, preferimos divulgação coordenada com um texto curto focado em aprendizados e correção, não em detalhes de exploração.

8) Sem programa de bug bounty

Crate.tf não possui atualmente um programa pago de bug bounty. Porém, podemos oferecer agradecimentos não monetários (crédito público) a nosso critério.

9) Contato

support@crate.tf (preferido)

Canal de suporte no Discord (secundário)