Programma di divulgazione delle vulnerabilità Cubbit

Icona conforme al GDPR

Introduzione

La sicurezza del nostro software è una priorità assoluta.
A Cubbit siamo sempre interessati a raccogliere i feedback di ricercatori di sicurezza, hacker etici, utenti e del pubblico in generale per contribuire a rendere più sicuri i nostri sistemi. Se credi di aver scoperto una vulnerabilità che potrebbe compromettere la sicurezza di Cubbit DS3, ti invitiamo a contattarci. Il presente Cubbit Vulnerability Disclosure Program (“C-VDP”) illustra le fasi di segnalazione delle vulnerabilità, cosa ci aspettiamo da te e cosa puoi aspettarti tu da noi.

I nostri impegni

Quando lavorate con noi, in base al presente C-VDP, potete aspettarvi che:

  • Rispondere prontamente alla vostra segnalazione e collaborare con voi per comprenderla e convalidarla;
  • Ci sforziamo di tenervi informati sullo stato di avanzamento di una vulnerabilità man mano che viene elaborata;
  • Lavorare per rimediare alle vulnerabilità scoperte in tempo, nel rispetto dei nostri vincoli operativi;
  • Estendere l'approdo sicuro per la ricerca di vulnerabilità relativa a questa politica.

Le nostre aspettative

  • Rispettare le regole, inclusa questa policy e qualsiasi altro accordo rilevante. In caso di conflitto tra questa policy e altri termini, prevarrà questa policy;
  • Segnalare tempestivamente qualsiasi vulnerabilità scoperta;
  • Evitare di violare la privacy altrui, interrompere i nostri sistemi, distruggere dati o danneggiare l'esperienza degli utenti;
  • Utilizzate solo i canali ufficiali per discutere con noi le informazioni sulla vulnerabilità;
  • Fornirci un periodo di tempo ragionevole (almeno 90 giorni dalla segnalazione iniziale) per risolvere il problema prima di divulgarlo pubblicamente;
  • Eseguire i test solo sui sistemi che rientrano nell'ambito di applicazione e rispettare i sistemi e le attività che non rientrano nell'ambito di applicazione;
  • Se una vulnerabilità consente l'accesso involontario ai dati: Limitare la quantità di dati a cui si accede al minimo necessario per dimostrare efficacemente una prova di concetto e interrompere immediatamente il test e presentare un rapporto se durante il test si incontrano dati di utenti, come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dati di carte di credito o informazioni proprietarie;
  • L'utente deve interagire solo con gli account di test di cui è proprietario o con l'esplicita autorizzazione del titolare dell'account e
  • Non praticate l'estorsione.

Ambito di applicazione

Le segnalazioni di vulnerabilità devono riguardare quanto segue:

  • Cubbit DS3 e servizi web associati.
  • API disponibili pubblicamente.
  • Qualsiasi componente software che possa compromettere la sicurezza degli utenti o dei dati.

Elenco dei punti finali:

Ci riserviamo il diritto di aggiornare questo elenco di tanto in tanto senza preavviso.

Vulnerabilità accettate

Incoraggiamo la segnalazione di vulnerabilità che includono, ma non si limitano a:

  • Insecure API design.
  • Injection vulnerabilities (ad esempio, SQL injection, command injection).
  • Cross-Site Scripting (XSS).
  • Autenticazione e autorizzazione deboli.
  • Esposizione di dati sensibili.
  • Misconfigurazioni della sicurezza.
  • Insufficient access control.

Fuori ambito

Alcuni tipi di segnalazioni non sono coperti da questo C-VDP. Le vulnerabilità non accettate includono:

  • Vulnerabilità relative al nostro sito web, a www.cubbit.io e alle landing page. 
  • Ingegneria sociale/phishing/tab nabbing, dipendenti e altri utenti o tester.
  • Test di carico, DoS, DDoS o vulnerabilità con strumenti automatici pesanti che possono rallentare il sito.
  • Creazione eccessiva di utenti sulla rete.
  • Criteri di sicurezza dei contenuti (CSP) sul client web S3.

Processo di reporting

  • Identificare la vulnerabilità: Documentare la vulnerabilità e fornire informazioni dettagliate su come riprodurla.
  • Presentare il rapporto: Le segnalazioni devono essere inviate all'indirizzo security@cubbit.io con i seguenti dettagli: testo
    • Descrizione chiara della vulnerabilità.
    • Passaggi per riprodurre il problema.
    • Prova di concetto (se disponibile).
    • Impatto potenziale sul sistema o sui dati.
    • Possibili rimedi (se disponibili)
  • ‍Confidenzialità: Chiediamo che la vulnerabilità non venga divulgata pubblicamente finché non sarà stata risolta e non avremo confermato che il sistema è sicuro.

Ricompensa

Come segno di apprezzamento per coloro che segnalano vulnerabilità di sicurezza conformi al C-VDP, offriamo una ricompensa in base alla gravità e all'impatto della vulnerabilità segnalata. La valutazione sarà a nostra discrezione e in linea con le migliori pratiche di sicurezza.

Offriamo fino a 2.000,00€ per vulnerabilità, a seconda della categoria e della gravità.

I rapporti sulle vulnerabilità fuori campo non potranno essere riconosciuti.

Porto sicuro

Quando si conduce una ricerca sulla vulnerabilità, in base a questa C-VDP, consideriamo questa ricerca condotta in base a questa politica come:

  • Autorizzati in merito a qualsiasi legge anti-hacking applicabile, e non avvieremo o sosterremo azioni legali contro di voi per violazioni accidentali e in buona fede di questa politica;
  • Autorizzato in merito a qualsiasi legge antielusione pertinente, e noi non avanzeremo alcuna richiesta di risarcimento nei vostri confronti per l'elusione dei controlli tecnologici;
  • Esenti dalle restrizioni previste dai nostri Termini di Servizio (TOS) e/o dalla Politica di Utilizzo Accettabile (AUP) che potrebbero interferire con la conduzione di ricerche sulla sicurezza, e rinunciamo a tali restrizioni su base limitata;e
  • Legittimo, utile alla sicurezza generale di Internet e condotto in buona fede.

Come sempre, l'utente è tenuto a rispettare tutte le leggi vigenti. Se una terza parte avvia un'azione legale contro di voi e voi avete rispettato questa politica, prenderemo provvedimenti per far sapere che le vostre azioni sono state condotte in conformità con questa politica.

Se in qualsiasi momento avete dei dubbi o state ancora determinando se la vostra ricerca sulla sicurezza è coerente con questa politica, vi preghiamo di inviare una segnalazione attraverso uno dei nostri canali ufficiali prima di andare avanti.

Si noti che il Safe Harbor si applica solo alle rivendicazioni legali sotto il controllo dell'organizzazione che partecipa a questa politica e che la politica non vincola terze parti indipendenti.

Dichiarazione di non responsabilità

Ci riserviamo il diritto di modificare o terminare il presente C-VDP in qualsiasi momento. La partecipazione a questo C-VDP non crea alcun rapporto contrattuale con noi. Pur impegnandoci a valutare ogni vulnerabilità in buona fede, non siamo obbligati a fornire ricompense per le vulnerabilità segnalate.

Informazioni di contatto

Per qualsiasi domanda su questa politica o per segnalare una vulnerabilità, è possibile contattarci all'indirizzo security@cubbit.io.