Politica di divulgazione responsabile

09-09-2024

Facciamo molta attenzione a mantenere il nostro software e i dati che raccogliamo il più sicuri e protetti possibile. Se hai scoperto una vulnerabilità di sicurezza, te lo chiediamo non per condividerlo pubblicamente, ma per condividerlo con noi. Inviaci un'e-mail all'indirizzo dev@secretview.io e includere le seguenti informazioni:

  • La natura della vulnerabilità
  • Una descrizione della vulnerabilità
  • Come possiamo riprodurre la vulnerabilità
  • I browser e le versioni su cui hai testato
  • I sistemi operativi e le versioni su cui hai testato

Per favore, includi anche qualcosa su di te:

  • Nome
  • E-mail
  • Indirizzo
  • Esperienza

Gioca secondo queste regole:

  • Non eliminare, accedere o tentare di eliminare o accedere a dati a cui non sei autorizzato ad accedere
  • Non interrompere o tentare di interrompere i nostri servizi
  • Non accedere o modificare alcun dato
  • Non eseguire o tentare di eseguire un attacco Denial of Service (DoS)
  • Non eseguire strumenti automatici sui nostri server senza previo coordinamento
  • Non abusare o tentare di abusare delle risorse dei nostri server
  • Non condividere pubblicamente alcun dettaglio del problema
  • Non tentare di ricattarci o cercare di venderci la tua segnalazione

In cambio:

  • Non intraprenderemo alcuna azione legale contro di te se giochi secondo le regole di cui sopra
  • Eseguiremo una valutazione del rischio per ogni vulnerabilità segnalata
  • Risponderemo a tutte le segnalazioni inviate correttamente entro 2 settimane

Se non rispetti queste regole, non elaboreremo la segnalazione. Non offriamo alcun compenso per i report di sicurezza.

Cosa non si qualifica come rapporto valido

  • Vulnerabilità segnalate in precedenza.
  • Vulnerabilità note nei componenti del nostro stack tecnologico segnalate entro 72 ore dal loro rilascio.
  • Problemi di sicurezza che possiamo riprodurre solo in condizioni molto specifiche.
  • Bug o funzionalità che dimostrano che un indirizzo email o altre informazioni personali sono note a Secret View, nonché la capacità di usare la forza bruta per raccogliere le informazioni.
  • Vulnerabilità che rappresentano un rischio accettato, tra cui, a titolo esemplificativo ma non esaustivo:
    - Possibilità di registrarsi e utilizzare i nostri servizi senza confermare un indirizzo email.
    - Mancanza di CAPTCHA nei moduli.
    - Mancanza di utilizzo di hardfail {(-all)} sui record SPF.
    - Mancanza di un record {reject} in DMARC
    - Mancanza di record DNS come CAA.
  • Clickjacking e problemi sfruttabili solo tramite clickjacking
  • Mancanza di flag secure/HTTPOnly sui cookie non sensibili
  • OPZIONI Metodo HTTPS abilitato
  • Iniezione dell'header host
  • Tutto ciò che riguarda le intestazioni di sicurezza HTTP, ad esempio
    - Rigorosa sicurezza dei trasporti
    - Opzioni X-Frame
    - Protezione X-XSS
    - Opzioni X-Content-Type
    - Politica sulla sicurezza dei contenuti

Come gestisco i report per i fornitori esterni?

Sul nostro sito Web e sulla nostra piattaforma, utilizziamo diversi fornitori esterni. Se la segnalazione riguarda un problema relativo a uno di questi fornitori, la inoltreremo a loro e considereremo la procedura di segnalazione completata.

Non è un invito a scansionare attivamente

La nostra politica di divulgazione responsabile non è un invito a scansionare attivamente i nostri sistemi per individuare eventuali punti deboli. Monitoriamo il nostro sistema e lo miglioriamo continuamente. Per ogni possibile vulnerabilità, valutiamo il rischio e l'impatto e determiniamo se è accettabile o deve essere risolta. Questo è completamente a nostra discrezione.

Se hai più segnalazioni, cercheremo di gestirle contemporaneamente, tuttavia, come indicato sopra, sconsigliamo la scansione attiva.

Incoraggiamo a segnalare tutte le vulnerabilità, ma scoraggiamo l'uso di strumenti automatici. Anche noi li utilizziamo. L'utilizzo di strumenti automatici per individuare e/o segnalare le vulnerabilità può portare a segnalazioni duplicate. In questi casi, la segnalazione potrebbe essere considerata non valida.

In caso di domande sulle regole di cui sopra, non esitare a contattarci inviando un'e-mail a dev@secretview.io.Risponderemo a tutte le segnalazioni inviate correttamente entro 2 settimane. Se sono trascorse due settimane, non esitare a chiedere un aggiornamento, ma fino ad allora sii paziente mentre analizziamo il rapporto e lo eseguiamo dal nostro team.

Grazie!