Encontrou algo? Abra o canal.
Somos pentesters. Respeitamos quem encontra falha em nossa própria superfície. Canal seguro, SLA real de retorno e reconhecimento público para pesquisadores que agirem dentro do escopo.
contato@basilisk.com.br
PGP fingerprint: A4B2 9E3C 7F10 D8E4 4F55 · 6C1A 98D2 0B73 EE21 3AAF
Como funciona
SLA auditávelEnvio cifrado
Use a chave PGP publicada ou o formulário cifrado em /contato. Inclua repro passo-a-passo, evidência e impacto observado.
Confirmação em 48h úteis
Confirmamos recebimento com ID interno do report. Você é notificado quando a triagem técnica inicia.
Triagem e correção
Severidade é classificada via CVSS. Críticas recebem fix emergencial em até 72h; altas em até 2 semanas; médias até 30 dias.
Reconhecimento
Com seu consentimento, publicamos seu crédito no hall público. Não pagamos bounty financeiro — mas podemos oferecer swag e referência técnica formal.
Escopo
- ▸basilisk.com.br e subdomínios públicos
- ▸Formulários de contato e API pública documentada
- ▸Vulnerabilidades técnicas: RCE, SQLi, XSS, SSRF, IDOR, auth flaws, logic flaws
- ✕Ativos e infraestrutura de clientes (contrate diretamente o cliente)
- ✕Ataques de negação de serviço (DoS/DDoS)
- ✕Engenharia social contra colaboradores, parceiros ou clientes
- ✕Physical security de escritórios
- ✕Ataques a serviços de terceiros
- ✕Self-XSS, clickjacking sem impacto, missing headers sem vetor
Regras para pesquisadores
- 01Investigue apenas o necessário para demonstrar a falha. Não acesse, modifique ou exfiltre dados além da prova.
- 02Não degrade serviço e não faça testes que gerem carga anormal.
- 03Não divulgue publicamente antes do fix estar em produção e do embargo ser liberado de comum acordo.
- 04Se encontrar dado sensível de terceiros, pare imediatamente e reporte.
- 05Pesquisadores que agirem de boa-fé dentro destas regras não serão alvo de ação legal pela Basilisk.
Pesquisadores que nos ajudaram
Publicamos com consentimento. Novos créditos são adicionados após o fix entrar em produção.