SB-009Altoauth
Role anon não lê auth.users via PostgREST
Garante que a tabela `auth.users` não está exposta no schema público nem acessível por views.
Por que importa
Vazar `auth.users` entrega emails, metadados e hashes de recuperação — material perfeito para phishing direcionado contra seus usuários.
Como corrigir
Nunca exponha `auth` no schema público. Revise views em `public` que fazem `SELECT FROM auth.users`.
Verificar a correção
SB-009 · verifynão-destrutivo
curl -s "$SUPABASE_URL/rest/v1/users?select=id,email" -H "apikey: $ANON_KEY"