Segnalazione di problemi di sicurezza

  • Aggiornato

Politica sulle taglie per i bug

In Firecore diamo priorità al mantenimento di un elevato livello di sicurezza in tutti i nostri prodotti. Al fine di migliorare la sicurezza generale, siamo lieti che chi scopre potenziali rischi per la sicurezza o fughe di dati li comunichi in modo responsabile al nostro team.

Quando si segnalano problemi, si prega di seguire le linee guida riportate di seguito.

  • Accedere ed esporre solo i propri dati
  • Se si verifica un accesso o un'esposizione involontaria di altri dati, segnalarlo tempestivamente. A questo punto, non tentare ulteriori sfruttamenti
  • Evitare strumenti e tecniche che possano degradare la qualità del servizio per altri utenti.
  • Mantenere le vulnerabilità strettamente confidenziali e divulgarle esclusivamente a Firecore.

Aree di interesse

Pur apprezzando ogni singola segnalazione, molte di esse tendono a essere banali e ad avere un impatto minimo sulla sicurezza dei servizi di Firecore e dei nostri utenti. Tuttavia, siamo particolarmente interessati a quanto segue:

  • Esecuzione di codice remoto nelle nostre applicazioni client o nell'infrastruttura cloud
  • Attacchi di escalation dei privilegi contro la nostra infrastruttura cloud
  • Attacchi di autenticazione
  • Cross-site scripting (XSS)
  • Falsificazione della richiesta di accesso al sito (CSRF/XSRF)

Il programma di ricompensa non copre i seguenti tipi di invio:

  • Vulnerabilità di negazione del servizio (DoS)
  • Gestione inadeguata dei cookie
  • Difetti di sicurezza scoperti in siti web e software di terze parti che vengono utilizzati dai servizi Firecore
  • Tentativi di inviare file o link dannosi ad altri individui.
  • Casi di spam, phishing o utilizzo di tattiche di ingegneria sociale.

Riproducibilità

Per poter ottenere qualsiasi tipo di ricompensa, i nostri tecnici devono essere in grado di riprodurre il problema. Pertanto, vi preghiamo di essere espliciti nella vostra relazione, in modo da risparmiare tempo a tutte le parti coinvolte.

Premi

Siamo grati a coloro che divulgano responsabilmente qualsiasi exploit o vulnerabilità in conformità con le linee guida sopra citate, poiché il loro aiuto ci aiuta a migliorare la sicurezza dei dati dei nostri clienti.

Si noti che il nostro programma di ricompense è discrezionale e Firecore si riserva il diritto di modificare o interrompere la politica se ritenuto necessario.

Si prega di notare che le ricompense saranno concesse solo per le vulnerabilità sconosciute; i problemi già noti, sia attraverso una valutazione interna che attraverso rapporti esterni, non potranno essere ricompensati.

Siamo lieti di offrire un abbonamento gratuito a vita a Infuse Pro per tutti i rapporti idonei. Nel caso in cui l'utente sia già titolare di una licenza per Infuse Pro, o nel caso in cui non utilizzi Infuse, gli offriremo l'equivalente in denaro corrispondente.

Come inviare il rapporto

Per segnalare a Firecore un potenziale problema di sicurezza, seguite la seguente procedura:

  1. Inviaci un messaggio sicuro
  2. Assicuratevi che il vostro rapporto includa informazioni essenziali, come la piattaforma, la versione dell'app, le condizioni di exploit richieste, una descrizione supportata da un proof of concept o da un codice di exploit, l'impatto potenziale in caso di exploit ed eventuali allegati rilevanti.
  3. Si prega di astenersi dal contattare direttamente i singoli dipendenti
  4. Solo i contributi inviati tramite l'apposito modulo potranno essere premiati.

Se abbiamo domande relative al rapporto, non mancheremo di farvele sapere. Apprezziamo il vostro aiuto per migliorare la sicurezza generale del nostro servizio.

Condividi questo articolo

Questo articolo ti è stato utile?

Utenti che ritengono sia utile: 2 su 4

Altre domande? Invia una richiesta