Cerca
Distanza
Ricerca avanzata
1
Accedi Registrati Modalità notturna
Vendi un veicolo Community

Hai trovato una vulnerabilità nei nostri sistemi?

Se scopri una vulnerabilità tecnica nei nostri sistemi, c'è una procedura per segnalarla. Questa procedura si chiama Coordinated Vulnerability Disclosure (CVD). Però, se trovi una vulnerabilità in un sistema o prodotto che non fa parte della nostra piattaforma, il tuo primo passo dovrebbe essere segnalarla al proprietario di quel sistema o prodotto specifico. Dovresti contattare il nostro team tecnico solo se l'organizzazione responsabile non risponde adeguatamente per risolvere la vulnerabilità. In questi casi, noi interverremo come intermediari e lavoreremo per portare la vulnerabilità alla loro attenzione. Per qualsiasi domanda o commento non legato alla cybersecurity, non esitare a contattarci tramite la nostra pagina "Contattaci".

Inoltre, se identifichi vulnerabilità che colpiscono più sistemi o fornitori, non esitare a metterti in contatto con il nostro team tecnico. In queste situazioni, possiamo aiutare a coordinare una soluzione per le vulnerabilità identificate. Puoi segnalare queste vulnerabilità usando il nostro modulo di contatto, e noi ti ricontatteremo per facilitare il processo di risoluzione.

Quali vulnerabilità possono essere oggetto di una CVD?

Puoi segnalarci vulnerabilità se hanno il potenziale di compromettere la sicurezza del sistema. Per esempio, potrebbero includere vulnerabilità che permettono di bypassare i moduli di login o concedere accesso non autorizzato a database contenenti informazioni personali.

È importante notare che non ogni difetto del sistema si qualifica come vulnerabilità. In genere, i seguenti difetti non sono probabili che risultino in una violazione della sicurezza, e ti chiediamo gentilmente di astenerti dal segnalarci problemi come questi:

  • Difetti che non influenzano la disponibilità, integrità o confidenzialità dei dati.
  • La disponibilità della funzionalità xmlrpc.php di WordPress quando il suo abuso è limitato a quello che è conosciuto come un attacco di 'pingback denial-of-service'.
  • La possibilità di usare cross-site scripting su un sito web statico o un sito che non processa dati sensibili (dell'utente).
  • La disponibilità di informazioni sulla versione, per esempio tramite un file info.php. Un'eccezione possibile in questo scenario è quando l'informazione sulla versione rivela che il sistema usa software che contiene vulnerabilità conosciute.
  • La mancanza di header di sicurezza HTTP usati da meccanismi come Cross-Origin Resource Sharing (CORS), a meno che questa mancanza di un header di sicurezza non risulti dimostrabilmente in un problema di sicurezza.
  • Certificati come SSL o nomi di dominio che stanno per scadere.

Se sei in dubbio sul fatto che il difetto che hai trovato rientri in una delle eccezioni sopra, puoi comunque segnalarcelo.

Valuteremo poi se il difetto costituisce una vulnerabilità e prenderemo le misure necessarie.

Come segnalare una vulnerabilità?

Segui questi passaggi:

  • Compila il modulo di contatto e raccontaci cosa hai scoperto.
  • Nel tuo report, descrivi il più chiaramente possibile come riprodurre il problema, così ci aiuti a risolverlo più in fretta. Di solito bastano l'indirizzo IP o l'URL del sistema interessato e una descrizione della vulnerabilità, ma per quelle più complesse potrebbero servire dettagli aggiuntivi. In quel caso, ti contatteremo noi.
  • Almeno, forniscici un'email o un numero di telefono per poterci mettere in contatto se abbiamo domande. Preferiamo comunicare via email.

Assicurati di:

  • Segnalare la vulnerabilità appena la scopri.
  • Non parlare con nessuno del problema di sicurezza finché non ti diciamo che è stato risolto.
  • Gestire la conoscenza della vulnerabilità in modo responsabile, per esempio evitando di fare altro oltre quanto serve per dimostrarla.

Cosa non devi fare?

Non devi mai fare nessuna di queste cose:

  • Introdurre malware nel sistema.
  • Copiare, modificare o cancellare dati nel sistema.
  • Apportare cambiamenti al sistema.
  • Accedere ripetutamente al sistema o condividere l'accesso con altri.
  • Eseguire attacchi brute force per accedere al sistema.
  • Eseguire attacchi denial of service o di social engineering.

I principi della nostra politica CVD

  • Se segui la procedura, non ci saranno conseguenze legali per la tua segnalazione. Tratteremo il tuo report in modo confidenziale e non condivideremo i tuoi dati con terze parti senza il tuo permesso, a meno che non sia richiesto per legge.
  • Ti indicheremo come scopritore della vulnerabilità solo se ci darai il tuo consenso.
  • Ti confermeremo la ricezione del report entro un giorno lavorativo e ti invieremo una valutazione entro tre giorni. Ti terremo aggiornato sui progressi della risoluzione.
  • Il nostro team di sicurezza cercherà di risolvere il problema entro massimo 60 giorni. Una volta risolto, decideremo insieme se e come pubblicare i dettagli del problema e della soluzione.
  • Il nostro team di sicurezza ti offrirà anche un premio per ringraziarti del tuo aiuto. Potrebbe essere un caffè, una t-shirt, o buoni regalo, a seconda della gravità della vulnerabilità e della qualità del report.
    • Per ricevere una ricompensa, la segnalazione deve riguardare una vulnerabilità seria che il nostro team di sicurezza non ha mai visto prima.

Posizione

Distanza: km