Politica di divulgazione responsabile
Ultimo aggiornamento 15.11.2023
La presente Politica di divulgazione responsabile è un’estensione dei nostriTermini di servizio .
Bouncer Sp. z.o.o (LTD) (“noi” o “nostro”) si impegna a garantire la sicurezza dei propri clienti e dipendenti.
Vogliamo promuovere un ambiente di fiducia e una partnership aperta con la comunità della sicurezza e riconosciamo l’importanza della divulgazione delle vulnerabilità e degli informatori per continuare a garantire la sicurezza di tutti i nostri clienti, dipendenti e dell’azienda.
Abbiamo sviluppato questa politica sia per riflettere i nostri valori aziendali sia per sostenere la nostra responsabilità legale nei confronti dei ricercatori di sicurezza in buona fede che ci mettono a disposizione la loro esperienza e degli informatori che aggiungono un ulteriore livello di sicurezza alla nostra infrastruttura.
Come inviare una vulnerabilità
Per inviare una segnalazione di vulnerabilità al team di sicurezza dei prodotti di Bouncer, utilizzare il seguente indirizzo e-mail [email protected].
Preferenza, priorità e criteri di accettazione
Per stabilire la priorità e il triage delle candidature, utilizzeremo i seguenti criteri.
Cosa vorremmo vedere da voi:
- I rapporti ben scritti in inglese avranno una maggiore probabilità di essere risolti.
- I rapporti che includono il codice proof-of-concept ci permettono di migliorare il triage.
- I rapporti che includono solo crash dump o altri risultati di strumenti automatici possono ricevere una priorità inferiore.
- Le segnalazioni che includono prodotti non presenti nell’elenco iniziale possono ricevere una priorità inferiore.
- Includere le modalità di individuazione del bug, l’impatto e qualsiasi potenziale rimedio.
- Includere eventuali piani o intenzioni di divulgazione al pubblico.
- Inoltre, tenete presente che contrassegnare tutte le segnalazioni come [Critico urgente], indipendentemente dall’impatto, non è professionale e ci fa trattare le vostre segnalazioni con meno serietà.
Cosa ci si può aspettare da Bouncer:
- Una risposta tempestiva alla vostra e-mail (entro 5 giorni lavorativi).
- Dopo il triage, invieremo una tempistica prevista e ci impegneremo a essere il più trasparenti possibile sulla tempistica di riparazione e sui problemi o le sfide che potrebbero prolungarla.
- Un dialogo aperto per discutere i problemi.
- Notifica del completamento di ogni fase dell’analisi di vulnerabilità.
- Credito dopo che la vulnerabilità è stata convalidata e risolta.
Se non riusciamo a risolvere i problemi di comunicazione o di altro tipo, Bouncer può rivolgersi a una terza parte neutrale per determinare il modo migliore per gestire la vulnerabilità.
Quali questioni sono considerate fuori campo:
- Pratiche di sicurezza in cui esistono altri controlli di attenuazione, ad esempio intestazioni di sicurezza mancanti, ecc.
- Ingegneria sociale, phishing
- Attacchi fisici
- Acquisizione di sottodomini
- Clickjacking
- Auto XSS
- Spoofing delle e-mail – Misconfigurazioni dell’autenticazione e-mail
- Flag dei cookie mancanti
- CSRF con impatto minimo, ad esempio Login CSRF, Logout CSRF, ecc.
- Spoofing dei contenuti
- Tracce di stack, divulgazione di percorsi, elenchi di directory
- Controlli SSL/TLS dove esistono altri controlli di mitigazione
- Cattura del banner
- Iniezione CSV
- Scarica il file riflesso
- Rapporti sui browser non aggiornati
- Rapporti su versioni/building obsoleti delle applicazioni mobili in questione
- DOS/DDOS
- Iniezione dell’intestazione dell’host senza un impatto dimostrabile
- Uscite dello scanner
- Vulnerabilità nei prodotti di terze parti
- Enumerazione degli utenti
- Complessità della password
- Metodo di tracciamento HTTP
Premi
Le nostre ricompense si basano sulla gravità della vulnerabilità.
Saremo più che felici di ricompensarvi per il vostro contributo quando segnalerete una vulnerabilità di cui non eravamo ancora a conoscenza. Inoltre, le vulnerabilità multiple causate da un’unica causa scatenante saranno ricompensate una sola volta.
Si prega di notare che le decisioni di ricompensa sono a nostra discrezione . I problemi possono ricevere una gravità inferiore a causa di controlli e contesti compensativi.
Infine, tenete presente che potremo pagare una ricompensa (tramite PayPal o bonifico bancario) solo se sarete in grado di emettere una fattura valida.
Premi e gravità:
- Critico – $1000+
Vulnerabilità che causano un’escalation di privilegi sulla piattaforma da non privilegiato ad amministratore, consentono l’esecuzione di codice remoto, il furto di denaro, l’accesso non autorizzato a/estrazione di dati sensibili, ecc. - Alto – $500
Vulnerabilità che influiscono sulla sicurezza della piattaforma, compresi i processi che supporta. - Medio – $100
Vulnerabilità che interessano più utenti e che richiedono poca o nessuna interazione da parte dell’utente per essere innescate - Basso – $50
Problemi che riguardano singoli utenti e che richiedono interazione o prerequisiti significativi (MitM) per essere attivati.
Contattateci
Per ulteriori domande o commenti su di noi o sulle nostre politiche, inviateci un’e-mail all’indirizzo [email protected] o contattateci per posta all’indirizzo:
Bouncer Sp. z o.o. (LTD)
ul. Cypriana Kamila Norwida 24/1
50-374 Wrocław
Polonia