Categorias

Transparência e Atualizações de Segurança

Atualizações de Segurança 2025

Em 2025, focamos em melhorar a segurança de arquivos de mídia e implementar uma gestão robusta de permissões em nosso sistema. Essas atualizações garantem um ambiente mais seguro e controlado para gerenciar conteúdos gerados por usuários e direitos de acesso.

Principais Melhorias de Segurança em 2025

  • Segurança Aprimorada de Arquivos de Mídia

    • Protocolos Automáticos de Exclusão: Melhoramos os processos automatizados para excluir arquivos de mídia com segurança quando não forem mais necessários ou após o vencimento do período de retenção. Isso garante que arquivos desnecessários sejam removidos rapidamente de nossos sistemas.
    • Exclusão Controlada pelo Usuário: Oferecemos aos usuários mais controle sobre seus arquivos de mídia, incluindo a opção de excluir arquivos manualmente.
    • Monitoramento Aprimorado: Melhoramos o monitoramento em tempo real das atividades de acesso a arquivos para detectar e responder a qualquer comportamento suspeito.

  • Funções e Permissões Aprimoradas

    • Melhorias nas Funções e Permissões de Membros: Melhoramos e protegemos o sistema de permissões para Gerentes de Equipe e Gerentes de Projetos.
    • Logs de Auditoria Aprimorados: Todas as ações relacionadas agora são registradas em detalhes, garantindo responsabilidade e transparência.

  • Comunicação Aprimorada para Preocupações com Segurança

    • “Tem uma Preocupação? Conte para Nós”: Esta seção dedicada na página de Segurança permite que os usuários relatem facilmente preocupações de segurança, vulnerabilidades ou feedback diretamente para nossa equipe.

Atualizações de Segurança 2024

Em 2024, continuamos a melhorar a segurança da nossa plataforma, implementando medidas avançadas para garantir a segurança, privacidade e confiabilidade de nossos serviços. Aqui está uma visão geral das principais melhorias de segurança feitas este ano:

Principais Melhorias de Segurança em 2024

  • Segregação de Servidores de Banco de Dados para Maior Segurança

    Para proteger ainda mais os dados dos usuários, separamos nossos servidores de banco de dados dos servidores de aplicativos. Isso garante melhor encapsulamento de segurança, isolando informações sensíveis e reduzindo o risco de acesso não autorizado. A nova arquitetura também permite controles de acesso mais rigorosos, minimizando a superfície de ataque e melhorando a integridade geral do sistema.

  • Integração com Cloudflare para Segurança Avançada

    Fizemos parceria com a Cloudflare, uma plataforma líder de segurança e desempenho da web, para oferecer uma camada adicional de proteção aos nossos serviços. Esta integração oferece:

    • Firewall de Aplicações Web (WAF): Bloqueia tráfego malicioso e defende contra ataques comuns, como injeção SQL e cross-site scripting (XSS).
    • Proteção contra DDoS: Protege nossa plataforma contra ataques de negação de serviço distribuída, garantindo acesso contínuo para nossos usuários.
    • Conexões TLS Seguras: Garante comunicação criptografada entre nossos servidores e usuários, aprimorando a privacidade dos dados.
    • Rede Global de Distribuição de Conteúdo (CDN): Melhora o desempenho do site armazenando e fornecendo conteúdo a partir de servidores mais próximos dos usuários.

Incidente de Vulnerabilidade de Segurança em Junho de 2024

Em 11 de junho, identificamos uma potencial vulnerabilidade envolvendo um subconjunto de capturas de tela armazenadas em nossa plataforma. Embora não haja evidências de acesso não autorizado ou roubo de dados, essa questão destacou uma oportunidade para fortalecer nossas medidas de segurança. Agimos prontamente para resolver a vulnerabilidade e garantir a segurança dos dados dos nossos usuários.

Linha do Tempo do Incidente

  • Vulnerabilidade Identificada: 11 de junho de 2024

  • Divulgação Inicial: 13 de agosto de 2024

  • Contato com o CERT: 9 de outubro de 2024

  • Vulnerabilidade Confirmada como Resolvida por Pesquisadores Independentes: 10 de janeiro de 2025

Avaliação de Impacto

  • Tipo de Dados Envolvidos: Um subconjunto de capturas de tela carregadas pelos usuários.

  • Número de Clientes Potencialmente Afetados: Aproximadamente 60.

  • Sem Evidências de Acesso Não Autorizado: Nossas investigações não revelaram qualquer acesso não autorizado, roubo ou uso indevido de dados relacionados a esta vulnerabilidade.

Nossa Resposta

  • Colaboramos com Volodymyr 'Bob' Diachenko, um pesquisador de segurança que revelou a questão de forma responsável.

  • CERT (Equipe de Resposta a Emergências Computacionais): foi contatado em 9 de outubro de 2024.

  • Implementamos medidas de curto e longo prazo para resolver a questão, incluindo:

    • Garantia de acesso seguro às capturas de tela afetadas.

    • Reforço na configuração do bucket Amazon S3.

    • Realização de uma revisão completa de nossas políticas de armazenamento e segurança de dados.

Reconhecimento

Somos gratos a Volodymyr 'Bob' Diachenko por sua divulgação responsável e assistência na resolução desta vulnerabilidade. Sua abordagem proativa foi inestimável para garantir a resolução rápida do problema.

Avançando

Tomamos medidas para aprimorar nossas práticas de segurança e evitar futuras vulnerabilidades:

  • Realizamos uma auditoria de segurança abrangente em nossos sistemas.

  • Atualizamos protocolos para lidar e armazenar dados de usuários com segurança.

  • Fizemos melhorias nas configurações de servidores e nuvem, endpoints de API e bancos de dados.

Continuamos comprometidos em proteger os dados de nossos usuários e manter os mais altos padrões de segurança. Se você tiver dúvidas ou preocupações, por favor compartilhe-as conosco aqui.

Atualizações de Segurança 2023

Em 2023, implementamos várias atualizações significativas para reforçar a segurança de nossa plataforma e serviços. Essas medidas garantem uma experiência mais robusta, segura e confiável para nossos clientes.

Principais Melhorias de Segurança em 2023

  • Certificados de Assinatura de Código Aprimorados

    Atualizamos para certificados de assinatura de código avançados emitidos pela DigiCert, uma Autoridade Certificadora confiável globalmente. Isso garante que nosso software seja assinado e validado de forma segura, prevenindo adulterações ou modificações não autorizadas. Agora, os usuários podem baixar e usar nosso software com maior confiança.

  • Segurança de API Aprimorada

    Nossas APIs passaram por uma revisão abrangente de segurança:

    • Melhorias na Autenticação: Reforço na autenticação baseada em token para evitar acessos não autorizados.
    • Limitação de Taxa: Implementação de limites de taxa para mitigar abusos e potenciais ataques de negação de serviço.
    • Criptografia de Dados: Garantia de criptografia de ponta a ponta para todas as comunicações de API, protegendo informações sensíveis em trânsito.