Foi observado que o Alurapic apresenta fotos de outros usuários a partir da chamada de uma URL em modo anônimo do browser: https://3076-cypress-alurapic-front.vercel.app/#/user/nome_do_usuario
Pelo que entendi, a criticidade poderia ser considerada Grave, mas dependendo se o DOD do projeto passar pelo time de segurança, poderia ser agravado como um Blocker para a entrega.
hoje, com a Alura e o Google Gemini
Olá, Eduardo! Tudo bem?
Com base no que você relatou, parece que você identificou bem uma falha de segurança significativa no Alurapic.
A exposição de fotos de usuários sem a devida permissão pode, de fato, ser considerada uma vulnerabilidade grave, principalmente se o acesso a essas informações for contra as regras de privacidade estabelecidas pelo sistema.
Ao classificar a criticidade de um bug, é importante considerar o impacto que ele tem sobre os usuários e o sistema como um todo. Se a exposição de fotos de usuários pode levar a uma violação de privacidade ou se representa um risco legal para a empresa, então a classificação como "Grave" ou até mesmo "Blocker" é justificada.
Um bug é geralmente considerado um "Blocker" quando impede o progresso ou o lançamento do projeto, ou quando tem um impacto crítico na funcionalidade, segurança ou integridade do sistema.
Lembre-se de incluir todas as informações relevantes que ajudem a equipe de desenvolvimento a entender e priorizar a correção do bug.
No mais, bons estudos!