Hai trovato una vulnerabilità nei nostri sistemi?
Se scopri una vulnerabilità tecnica all'interno dei nostri sistemi, esiste un processo per segnalarla. Questo processo è denominato Coordinated Vulnerability Disclosure (CVD). Tuttavia, se ti imbatti in una vulnerabilità in un sistema o in un prodotto che non fa parte della nostra piattaforma, la prima cosa da fare è segnalarla al proprietario di quel particolare sistema o prodotto. Dovresti rivolgerti al nostro team tecnico solo se l'organizzazione responsabile non risponde in modo adeguato per risolvere la vulnerabilità. In questi casi, interverremo come intermediari e lavoreremo per portare la vulnerabilità alla loro attenzione. Per qualsiasi richiesta o commento non correlato alla sicurezza informatica, non esitare a contattarci attraverso la nostra pagina "Contattaci".
Inoltre, se identifichi vulnerabilità che interessano più sistemi o fornitori, non esitare a metterti in contatto con il nostro team tecnico. In questi casi, possiamo aiutarti a coordinare una soluzione per le vulnerabilità identificate. Puoi segnalare queste vulnerabilità utilizzando il nostro modulo di contatto e ti contatteremo per facilitare il processo di risoluzione.
Quali vulnerabilità possono essere oggetto di un CVD?
Puoi segnalarci le vulnerabilità che hanno il potenziale di compromettere la sicurezza del sistema. Ad esempio, potrebbero essere vulnerabilità che permettono di bypassare i moduli di login o che consentono l'accesso non autorizzato a database contenenti informazioni personali.
È importante notare che non tutti i difetti del sistema si qualificano come vulnerabilità. In genere, i seguenti difetti non sono suscettibili di provocare una violazione della sicurezza e ti chiediamo gentilmente di astenerti dal segnalarci tali problemi:
- Difetti che non compromettono la disponibilità, l'integrità o la riservatezza dei dati.
- La disponibilità della funzionalità xmlrpc.php di WordPress quando il suo abuso è limitato al cosiddetto attacco "pingback denial-of-service".
- L'opportunità di utilizzare il cross-site scripting su un sito web statico o su un sito web che non elabora dati sensibili (dell'utente).
- La disponibilità di informazioni sulla versione, ad esempio tramite un file info.php. Una possibile eccezione in questo scenario è quando le informazioni sulla versione rivelano che il sistema utilizza un software che contiene vulnerabilità note.
- La mancanza di intestazioni di sicurezza HTTP utilizzate da meccanismi come il Cross-Origin Resource Sharing (CORS), a meno che la mancanza di un'intestazione di sicurezza non comporti un problema di sicurezza.
- Certificati come SSL o nomi di dominio che stanno per scadere.
Se hai dei dubbi sul fatto che il difetto riscontrato rientri in una delle eccezioni di cui sopra, puoi comunque segnalarci il difetto. Saremo noi a stabilire se il difetto costituisce una vulnerabilità e a intraprendere le opportune azioni di follow-up.
Come si inviano i CVD?
Segui i seguenti passaggi:
- Compila il modulo di contatto e raccontaci cosa hai trovato.
- Nella tua segnalazione, descrivi il più chiaramente possibile come è possibile riprodurre il problema, in quanto ciò contribuirà ad accelerare il processo di risoluzione. Di solito sono sufficienti l'indirizzo IP o l'URL del sistema interessato e una descrizione della vulnerabilità, ma le vulnerabilità più complesse potrebbero richiedere ulteriori informazioni. In questi casi ti contatteremo.
- Ti preghiamo di fornire almeno un indirizzo e-mail o un numero di telefono per poterti contattare in caso di domande. Preferiamo comunicare via e-mail.
Assicurati di:
- Segnalare la vulnerabilità il prima possibile dopo averla scoperta.
- Non comunicare a nessun altro il problema di sicurezza fino a quando non avrai saputo da noi che è stato risolto.
- Gestisci la conoscenza della vulnerabilità in modo responsabile, ad esempio non intraprendendo altre azioni oltre a quelle necessarie per dimostrare la vulnerabilità.
Cosa non devi fare?
Non devi mai compiere una delle seguenti azioni:
- Introdurre malware nel sistema.
- Copiare, modificare o cancellare dati nel sistema.
- Apportare modifiche al sistema.
- Accedere al sistema ripetutamente o condividere l'accesso al sistema con altri.
- Eseguire attacchi di forza bruta per ottenere l'accesso a un sistema.
- Eseguire attacchi di negazione del servizio o di ingegneria sociale.
Principi della nostra politica CVD
- Se invii la tua segnalazione in conformità con la procedura, non ci saranno conseguenze legali in relazione alla tua segnalazione. Tratteremo la tua segnalazione in modo confidenziale e non divulgheremo le tue informazioni personali a terzi senza il tuo consenso, a meno che non sia richiesto dalla legge o da un ordine del tribunale.
- Ti identificheremo come scopritore della vulnerabilità in questione solo se ci darai il permesso di farlo.
- Ti comunicheremo la ricezione della segnalazione entro un giorno lavorativo e ti invieremo una valutazione della segnalazione entro tre giorni lavorativi. Ti terremo inoltre informato sui progressi compiuti nella risoluzione del problema.
- Il nostro team di sicurezza si impegnerà a risolvere il problema di sicurezza segnalato entro un massimo di 60 giorni. Una volta risolto il problema, ci consulteremo con te per stabilire se e come pubblicare i dettagli del problema e della sua risoluzione.
- Il nostro team di sicurezza ti offrirà anche una ricompensa per ringraziarti del tuo aiuto. Questa ricompensa può variare da un caffè, a una maglietta, a buoni regalo, a seconda della gravità della vulnerabilità e della qualità della segnalazione. Per avere diritto a una ricompensa, la segnalazione deve riguardare una vulnerabilità grave che il nostro team di sicurezza non ha mai visto prima.