Tibia Toolkit · Confiança
Segurança
Como relatar vulnerabilidades e verificar versões oficiais do site e do aplicativo.
Última revisão: 14 de julho de 2026
Relate vulnerabilidades de forma privada. Não publique detalhes exploráveis, segredos ou dados de terceiros antes que o projeto tenha tempo para investigar e corrigir o problema.
1. Versões cobertas
- Site: a versão atualmente publicada em tibiatoolkit.com.
- Aplicativo: somente a versão oficial mais recente recebe correções de segurança.
- Versões antigas, builds modificadas e distribuidores não oficiais não são suportados.
2. Como relatar
Envie o relato para [email protected] ou, quando disponível, use um GitHub Private Security Advisory. Como alternativa, entre no Discord oficial e solicite um canal privado com a equipe, sem publicar os detalhes da falha.
- Inclua passos claros para reprodução e o impacto observado.
- Informe a versão do aplicativo ou a página e o navegador usados no site.
- Inclua somente logs e imagens necessários, removendo chaves, tokens, TOTP e dados pessoais.
- Indique se a falha foi observada em produção, no preview local ou em uma instalação modificada.
3. Pesquisa responsável
- Não acesse, altere ou exclua dados de outras pessoas.
- Não interrompa o site, as APIs, downloads ou serviços de terceiros.
- Não use engenharia social, malware, ataques físicos ou testes destrutivos.
- Pare o teste assim que comprovar a falha e aguarde orientação antes de divulgar detalhes.
4. Integridade do aplicativo
Baixe o Tibia Toolkit somente pelo site oficial. Quando uma versão assinada disponibilizar hash SHA-256 e assinatura Authenticode, confira os dois antes de executar o instalador.
5. Builds, dependências e conteúdo
- Os workflows devem operar com permissões mínimas e pull requests não recebem segredos de assinatura ou publicação.
- Releases assinadas exigem build verificado e aprovação manual do processo de assinatura.
- Pacotes grandes de conteúdo são tratados como dados e devem ser verificados antes do uso.
- Mantenedores devem usar 2FA, proteção de branches, secret scanning, push protection, Dependabot e análise de código sempre que disponíveis.
6. Privacidade durante o relato
Compartilhe apenas o mínimo necessário para investigar. Para entender como o site e o aplicativo tratam dados, consulte a Política de Privacidade.
