Identificou um problema de Controlo de Acesso Quebrado no fluxo de convite que permitia a manipulação de parâmetros de função de utilizador, resultando em gestão de convites comprometida para administradores do espaço de trabalho. Descobriu uma falha de controlo de acesso que expunha dados restritos do espaço de trabalho a utilizadores de nível membro.

Reportou uma vulnerabilidade XSS que permitia a execução arbitrária de scripts através de parâmetros de URL manipulados.

Identificou uma falha lógica no fluxo de assinatura de documentos que permitia a modificação não autorizada das permissões de assinante após a aprovação do documento.

Identificou um problema de IDOR no fluxo de comentários com WebSocket que permitia publicar comentários como outro utilizador. Identificou um problema de IDOR no sistema de comentários que permitia a eliminação não autorizada dos comentários de outro utilizador.

Reportou uma falha de controlo de acesso do lado do servidor que permitia aos membros obter os URLs das imagens de assinatura de documentos protegidos por palavra-passe através de uma query GraphQL exposta.

Reportou um problema de lógica de negócio nos fluxos de propriedade e gestão de utilizadores do espaço de trabalho que permitia aos utilizadores voltarem a aderir numa situação em que o verdadeiro proprietário já não os conseguia eliminar.

Identificou uma fragilidade na gestão do estado do OAuth que permitia a atacantes forçar a conta da vítima a integrar-se com um espaço de trabalho Slack controlado pelo atacante.

Identificou que os tokens de acesso a documentos estavam publicamente descobertos e podiam ser usados para visualizar documentos e informações associadas sem autenticação.

Identificou um problema de má gestão de chave API que permitia a antigos administradores reterem e utilizarem chaves API ao nível da organização após serem removidos do espaço de trabalho.