Politica di divulgazione responsabile

Le informazioni su questa pagina sono destinate ai ricercatori di sicurezza interessati a segnalare le vulnerabilità nella sicurezza al team di Transporeon. Se sei un cliente e hai una domanda sulla sicurezza o un problema con l'account o la password, contattaci attraverso i normali canali di assistenza.

Transporeon effettua periodicamente una revisione della sua Politica di divulgazione responsabile, sia da un punto di vista legale che operativo.

La sicurezza è il nucleo dei nostri valori e apprezziamo il contributo dei ricercatori di sicurezza in buona fede per aiutarci a mantenere alti standard in termini di sicurezza e di privacy per i nostri utenti. Ciò include la promozione di una ricerca di vulnerabilità e una divulgazione responsabili. Questa politica stabilisce la nostra definizione di buona fede nell'ambito della ricerca e della segnalazione di vulnerabilità, nonché il modo in cui gestiamo la tua segnalazione.

Come contattarci

Il nostro canale di comunicazione ufficiale è la compilazione del modulo. Fai clic sul pulsante "Segnala vulnerabilità" e segnala il problema. Le problematiche vengono smistate da un analista della sicurezza prima di essere passare al team di competenza.

Segnala vulnerabilità

Ti preghiamo di scrivere la tua segnalazione in inglese o in tedesco e di fornirci le informazioni sufficienti a riprodurre la vulnerabilità. Includi le tue informazioni di contatto, in modo da poterti contattare direttamente. Non è un problema se non vuoi essere contattato, ma ciò potrebbe impedirci di esaminare e correggere la vulnerabilità.

Safe Harbor

Quando conduciamo una ricerca di vulnerabilità attenendoci a questa politica, riteniamo tale ricerca come autorizzata, legale, utile alla sicurezza generale di Internet e condotta in buona fede.

Come sempre, sei tenuto a rispettare tutte le leggi applicabili. Se in qualsiasi momento hai dei dubbi o non sei sicuro che la tua ricerca sulla sicurezza sia coerente con questa politica, invia una segnalazione attraverso il nostro canale ufficiale prima di proseguire oltre.

Regole di base

Al fine di promuovere la ricerca di vulnerabilità e di evitare confusione tra manipolazione in buona fede e attacchi malevoli, ti chiediamo di:

  • Operare secondo le regole. Ciò include il rispetto della presente politica, nonché di qualsiasi altro accordo pertinente.
  • Non violare la privacy di altri, i regolamenti in materia di protezione dei dati personali, non compromettere i nostri sistemi, distruggere dati e/o arrecare danno all'esperienza utente;
  • Eseguire test solo su sistemi inclusi nell'ambito e rispettare i sistemi e le attività esclusi.
  • Interagire solo con account o dispositivi di tuo possesso o previa autorizzazione esplicita del proprietario.
  • Fare uno sforzo in buona fede per evitare l'interruzione o il deterioramento del nostro servizio.
  • Se una vulnerabilità fornisce un accesso involontario ai dati, limitare la quantità di dati a cui si accede al minimo richiesto per dimostrare efficacemente una Proof of Concept.
  • Interrompere i test e inviare immediatamente un rapporto se durante i test si incontrano dati dell'utente, come informazioni di identificazione personale, informazioni sanitarie personali, dati di carte di credito o informazioni proprietarie.
  • Non tentare di accedere fisicamente alle proprietà o ai centri dati di Transporeon.
  • Non tentare di eseguire attacchi di Denial of Service.
  • Sono vietate le tecniche di social engineering (es. phishing, vishing, smishing).
  • Segnalare tempestivamente qualsiasi vulnerabilità scoperta.
  • Non impegnarsi nell'estorsione chiedendo una ricompensa prima di rivelare i dettagli della vulnerabilità.
  • Usare solo i canali ufficiali per discutere con noi le informazioni sulla vulnerabilità.

Divulgazione

Non ti è concesso di discutere in pubblico di qualsiasi vulnerabilità prima che sia stata risolta e previa autorizzazione esplicita da parte nostra. 

Campo di applicazione

Questa politica riguarda tutti i servizi, i prodotti e le proprietà web di Transporeon.

Attenzione! La maggior parte delle segnalazioni che riceviamo hanno basso impatto o nessun impatto sulla sicurezza o sono già note. Per evitare un'esperienza poco soddifacente quando ci contatti, prenditi un momento per considerare se il problema che desideri segnalare ha uno scenario di attacco realistico.

Più specificatamente, ti chiediamo di non inviare segnalazioni relative a:

  • Vulnerabilità teoriche senza alcuna prova o dimostrazione della reale presenza della vulnerabilità.
  • Risultati di strumenti automatizzati senza fornire una Proof of Concept.
  • Vulnerabilità che richiedono MITM, o accesso fisico al browser di un utente, o uno smartphone, o un account di posta elettronica, così come problemi su smartphone rooted o jailbroken.
  • Intestazioni HTTP relative alla sicurezza mancanti o deboli.
  • Divulgazione di dati non sensibili, per esempio banner della versione del server.
  • Problemi di spoofing dei contenuti e di inserimento di testo senza mostrare un vettore di attacco/senza poter modificare l'HTML/CSS.
  • Cross-Site Request Forgery (CSRF) su moduli non autenticati o moduli senza azioni sensibili.
  • Self-XSS.
  • Assenza di best practice per le e-mail (record SPF/DKIM/DMARC non validi, incompleti o mancanti, ecc.)
  • Inserimento dell'header dell'host, a meno che non sia stato confermato che può essere sfruttato in un attacco pratico.
  • Software o librerie vulnerabili precedentemente note senza una Proof of Concept funzionante.
  • Problemi di limitazione della velocità o di forza bruta su endpoint non autentici.
  • Denial of Service.
  • Inserimento di CSV/formula.
  • Exploit basati su Flash.
  • Clickjacking su pagine senza azioni sensibili.

Azioni che puoi aspettarti da noi: 

Quando lavori con noi secondo questa politica, possiamo:

  • Estendere il Safe Harbor per la tua ricerca di vulnerabilità eseguita secondo questa politica;
  • Segnalare tempestivamente qualsiasi vulnerabilità scoperta;
  • Lavorare con te per comprendere e convalidare la tua segnalazione, compresa una risposta iniziale alla stessa entro un periodo di tempo ragionevole;
  • Lavorare per rimediare alle vulnerabilità scoperte in modo tempestivo;
  • Avvisarti quando la vulnerabilità è stata risolta, in modo che possa essere nuovamente testata e confermata come sistemata.

Transporeon apprezza gli sforzi dei ricercatori di sicurezza che identificano le vulnerabilità e collaborano con noi per garantire la sicurezza dei nostri clienti. Ti siamo grati per aver fatto del tuo meglio per migliorare la sicurezza dei nostri prodotti e dell'intera comunità Internet.