Assine

    Política de Segurança

    Levamos a sério a segurança dos nossos usuários e dados. Se você é pesquisador de segurança e identificou uma vulnerabilidade em serviços do Letras, agradecemos seu contato responsável.

    Como reportar

    Envie um e-mail para security@letras.mus.br com:


    • Descrição clara da vulnerabilidade;
    • Passos para reprodução (PoC);
    • Impacto potencial;
    • Sugestão de correção, se houver;
    • Seu nome, handle e perfil público, caso queira ser reconhecido.

    SLA de resposta: retorno inicial em até 48h úteis; triagem completa em até 5 dias úteis.

    Escopo

    Em escopo


    • *.letras.mus.br
    • *.letras.com
    • Apps móveis oficiais do Letras para iOS e Android;
    • APIs públicas dos domínios acima.

    Serviços compartilhados relacionados


    • Cifra Club ID, quando a vulnerabilidade envolver autenticação, autorização, sessão, conta ou dados usados pelo Letras;
    • Cifra Club, Palco MP3 e outros produtos da Studio Sol, quando o bug raiz estiver em infraestrutura, serviços, APIs ou código compartilhado com o Letras;
    • Fluxos de login, cadastro, pagamentos, assinaturas, contas e integrações comuns que tenham impacto demonstrável no Letras.

    Essa inclusão não autoriza testes indiscriminados em todos os ativos de outros produtos. Reports devem demonstrar relação com o Letras ou com serviços compartilhados usados pelo Letras.


    Fora de escopo


    • Ataques de negação de serviço (DoS/DDoS);
    • Engenharia social contra funcionários ou usuários;
    • Ataques físicos a infraestrutura ou colaboradores;
    • Spam, brute-force sem PoC de impacto e scanners automatizados sem evidência de exploração;
    • Falhas em sistemas de terceiros, como ad networks, CDNs, analytics e processadores de pagamento;
    • Missing security headers sem demonstração de impacto explorável;
    • Vulnerabilidades em bibliotecas ou dependências sem PoC contra nossos serviços;
    • Self-XSS, clickjacking em páginas sem ações sensíveis e disclosure de versões de software sem vulnerabilidade demonstrada.

    Regras de divulgação responsável

    • Não acesse, modifique ou exfiltre dados de outros usuários além do mínimo necessário para a PoC;
    • Não execute ataques que possam degradar o serviço para outros usuários;
    • Não divulgue publicamente a vulnerabilidade antes da correção e por no mínimo 90 dias após o report;
    • Use apenas contas de teste criadas por você;
    • Reportes devem ser originais. Duplicatas e reports anteriores recebidos por outros canais não são elegíveis.

    Pesquisadores que seguirem estas regras não terão ações legais movidas contra eles por parte do Letras.

    Serviços compartilhados

    O Letras compartilha infraestrutura, serviços e partes do código com outros produtos da Studio Sol, incluindo Cifra Club, Palco MP3 e Cifra Club ID. Por isso, algumas descobertas feitas no escopo do Letras podem afetar também outros produtos.


    Vulnerabilidades em serviços compartilhados, como autenticação, autorização, contas, pagamentos, infraestrutura ou APIs comuns, serão avaliadas pelo impacto agregado nos produtos afetados.


    Quando o mesmo bug raiz impactar múltiplos produtos, a recompensa poderá ser majorada pelo impacto sistêmico, sem que haja duplicação automática de recompensas por produto, marca ou domínio.

    Política de recompensa

    Recompensas são avaliadas caso a caso, considerando severidade, impacto real, qualidade do report, originalidade, exploração demonstrada, abrangência sistêmica e orçamento disponível do programa. O envio de um report não garante recompensa financeira.


    • Crítico: Recompensa financeira ou gift card + Hall of Fame, quando aplicável + Premium vitalício. Exemplos: account takeover sem interação, RCE, SQL injection com extração de dados, vazamento massivo de dados sensíveis, bypass total de autenticação ou falha sistêmica em login/contas compartilhadas.
    • Alto: Recompensa financeira ou gift card + Hall of Fame, quando aplicável + Premium por 3 anos. Exemplos: account takeover com interação limitada, IDOR em dados sensíveis, stored XSS com impacto real, privilege escalation, acesso indevido a dados privados ou bypass relevante de autorização.
    • Médio: Recompensa financeira ou gift card + Hall of Fame, quando aplicável + Premium por 1 ano. Exemplos: reflected XSS explorável, CSRF em ação sensível, open redirect com impacto demonstrado, exposição moderada de informação, falhas de sessão com impacto limitado ou bypass parcial de controles.
    • Baixo: Gift card, Hall of Fame ou Premium por 6 meses, conforme impacto. Exemplos: exposição não sensível de informação, configurações subótimas com baixo impacto, problemas de rate limit sem exploração significativa ou falhas que exigem condições muito restritas.
    • Informativo: Hall of Fame, quando útil. Exemplos: boas práticas de hardening, observações sem impacto explorável imediato ou reports que ajudam a melhorar a postura de segurança sem representar vulnerabilidade diretamente explorável.

    Hall of Fame

    Pesquisadores que reportarem vulnerabilidades válidas serão reconhecidos publicamente em nosso Hall of Fame no GitHub, com consentimento prévio.

    Processo

    1. Envio do report para security@letras.mus.br;
    2. Confirmação de recebimento em até 48h úteis;
    3. Triagem e validação da PoC em até 5 dias úteis;
    4. Correção e implantação conforme severidade;
    5. Validação opcional da correção pelo pesquisador;
    6. Pagamento da recompensa e reconhecimento público, quando aplicável.

    Última atualização: maio de 2026

    Dúvidas? security@letras.mus.br