PUBLIC THREAT MODEL

מודל האיומים הפומבי של NoData

זה לא מסמך שיווקי. זה מסמך הנדסי שמפרט מה אנחנו מגנים, מה לא, ולמה. עודכן לאחרונה: מרץ 2026.

23

איומים מנותחים

16

מוגנים

7

מגבלות מוכרות

criticalPROTECTEDיירוט תקשורת (MITM)

TLS 1.3 + HSTS preload + Certificate pinning. כל התקשורת מוצפנת מקצה לקצה.

criticalPROTECTEDחשיפת DB - Supabase breach

כל שדה רגיש מוצפן ב-AES-256-GCM ברמת השדה. גם אם ה-DB נפרץ - התוכן מוצפן ולא קריא. מפתחות לא שמורים ב-DB.

highPROTECTEDחשיפת secrets ב-git history

Environment variables בלבד. .env*.local ב-.gitignore. gitleaks בודק ב-CI. @nodatachat/protect מצפין .env קבצים.

highKNOWN LIMITATIONVercel employee גישה ל-env vars

⚠️ הגבלה מוכרת: Vercel מנהלת את ה-environment variables. אנחנו סומכים על מודל האבטחה שלהם (SOC 2 Type II certified). מפתחות הצפנה קריטיים שמורים ב-GCP Cloud Run (me-west1) בנפרד.

mediumPROTECTEDחשיפת metadata על משתמשים

Device token authentication בלבד - אין שמות, אימייל, או מידע מזהה. IP addresses נשמרים כ-SHA-256 hash בלבד.

מתודולוגיה

מודל האיומים הזה מתבסס על STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) ו-OWASP Top 10.

אנחנו מעדכנים את המודל בכל שינוי ארכיטקטוני משמעותי, ולאחר כל pentest חיצוני. המודל מפורסם ב-Git עם היסטוריית שינויים מלאה.

⚡ מודל זה לא מחליף pentest מקצועי. אנחנו ממליצים לבצע pentest חיצוני בנוסף לסקירה עצמית.

← מרכז אבטחה

PUBLIC THREAT MODEL

מודל האיומים הפומבי של NoData

זה לא מסמך שיווקי. זה מסמך הנדסי שמפרט מה אנחנו מגנים, מה לא, ולמה. עודכן לאחרונה: מרץ 2026.

23

איומים מנותחים

16

מוגנים

7

מגבלות מוכרות

criticalPROTECTEDיירוט תקשורת (MITM)

TLS 1.3 + HSTS preload + Certificate pinning. כל התקשורת מוצפנת מקצה לקצה.

criticalPROTECTEDחשיפת DB - Supabase breach

כל שדה רגיש מוצפן ב-AES-256-GCM ברמת השדה. גם אם ה-DB נפרץ - התוכן מוצפן ולא קריא. מפתחות לא שמורים ב-DB.

highPROTECTEDחשיפת secrets ב-git history

Environment variables בלבד. .env*.local ב-.gitignore. gitleaks בודק ב-CI. @nodatachat/protect מצפין .env קבצים.

highKNOWN LIMITATIONVercel employee גישה ל-env vars

mediumPROTECTEDחשיפת metadata על משתמשים

Device token authentication בלבד - אין שמות, אימייל, או מידע מזהה. IP addresses נשמרים כ-SHA-256 hash בלבד.

מתודולוגיה

מודל האיומים הזה מתבסס על STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) ו-OWASP Top 10.

⚡ מודל זה לא מחליף pentest מקצועי. אנחנו ממליצים לבצע pentest חיצוני בנוסף לסקירה עצמית.

מודל האיומים הפומבי של NoData

חשיפת מידע

תקיפות אימות

תקיפות API

שרשרת אספקה

איומים תחרותיים

מה אנחנו לא מגנים

מתודולוגיה

מודל האיומים הפומבי של NoData

חשיפת מידע

תקיפות אימות

תקיפות API

שרשרת אספקה

איומים תחרותיים

מה אנחנו לא מגנים

מתודולוגיה