Programma di divulgazione delle vulnerabilità

Nell'ambito del nostro impegno a migliorare la sicurezza della nostra piattaforma e dei nostri servizi, apprezziamo la collaborazione con la comunità di ricerca sulla sicurezza. Per facilitare questa collaborazione, abbiamo stabilito una politica di divulgazione delle vulnerabilità. Questa politica incoraggia le persone a segnalarci qualsiasi vulnerabilità scoperta, consentendoci di affrontare e ridurre tempestivamente i potenziali rischi per la sicurezza.

Per saperne di più

Linee guida per una divulgazione responsabile

Per mantenere un ambiente costruttivo per la ricerca sulla sicurezza, vi chiediamo di seguire queste linee guida quando conducete una ricerca:

  • Non intraprendere alcuna forma di attacco Denial of Service (DoS) contro applicazioni, server, reti o infrastrutture byrd.
  • Evitare test che possano causare il degrado o l'interruzione dei nostri servizi.
  • Se si utilizzano scanner o strumenti automatici, assicurarsi che funzionino in modo da non generare un traffico di rete eccessivo (ad esempio, limitare le richieste a un massimo di una al secondo).
  • Astenersi dal divulgare, alterare o cancellare i dati o i file degli utenti all'interno delle nostre applicazioni o dei nostri server.
  • Non accedere o divulgare alcun file dalle nostre applicazioni o dai nostri server.
  • Non è consentita alcuna forma di divulgazione di vulnerabilità, sia essa completa, parziale o di altro tipo.
  • Evitate di inviare spam attraverso i moduli di registrazione sui nostri siti web, compreso il portale di assistenza.
  • Utilizzare l'user-agent "VDP name-at-email-dot-com" in tutte le richieste basate sul web.

Guida

I ricercatori di sicurezza devono:

  • Accedere solo alla quantità minima di dati necessaria. Ad esempio, 2 o 3 record dovrebbero essere sufficienti per dimostrare la maggior parte delle vulnerabilità, come una vulnerabilità di enumerazione o di riferimento diretto a un oggetto.
  • Evitate di utilizzare strumenti di scansione tecnica della sicurezza ad alta intensità, invasivi o distruttivi, per scoprire le vulnerabilità.
  • Rispettare la privacy degli utenti, del personale, degli appaltatori, dei servizi o dei sistemi di Byrd. Ad esempio, non condividete, ridistribuite o non proteggete adeguatamente i dati ottenuti dai nostri sistemi o servizi.
  • Non comunicare le vulnerabilità o i dettagli associati attraverso metodi non indicati in questa politica.
  • Non alterare i dati dei sistemi o dei servizi Byrd.
  • Non interrompere i servizi o i sistemi Byrd.
  • Evitate di intraprendere attacchi di ingegneria sociale, di "phishing" o attacchi fisici contro il personale o l'infrastruttura del Byrd.
  • Non divulgare a terzi o al pubblico alcuna vulnerabilità nei sistemi o nei servizi Byrd prima che Byrd abbia confermato che tali vulnerabilità sono state affrontate o corrette. Ciò non impedisce di notificare una vulnerabilità a terzi per i quali la vulnerabilità è direttamente rilevante, ad esempio quando la vulnerabilità è in una libreria o in un framework software di terzi. Tuttavia, in tali segnalazioni non è possibile fare riferimento a dettagli specifici della vulnerabilità che riguardano Byrd.
  • Non chiedere compensi economici per la divulgazione di eventuali vulnerabilità.
  • Eliminare in modo sicuro tutti i dati recuperati durante la ricerca non appena non sono più necessari o entro 1 mese dalla risoluzione della vulnerabilità, a seconda di quale delle due condizioni si verifichi per prima.

Ambito di applicazione

Questa politica di divulgazione si applica solo alle vulnerabilità nei seguenti ambiti DNS: *.getbyrd.com:

  • Le vulnerabilità "in scope" devono essere originali, non segnalate in precedenza e non già scoperte da procedure interne.
  • Le vulnerabilità volumetriche non rientrano nell'ambito di applicazione: ciò significa che il semplice sovraccarico di un servizio con un elevato volume di richieste non rientra nell'ambito di applicazione.
  • Le segnalazioni di vulnerabilità non sfruttabili o quelle che indicano che i nostri servizi non sono pienamente in linea con le "best practice", ad esempio la mancanza di intestazioni di sicurezza, non rientrano nell'ambito di applicazione.
  • Le debolezze della configurazione TLS, ad esempio il supporto di suite di cifratura "deboli" o la presenza del supporto TLS1.0, non rientrano nell'ambito di applicazione.

Cosa aspettarsi

Dopo aver inviato la segnalazione di vulnerabilità, in genere ci si aspetta di ricevere una risposta di conferma entro 72 ore lavorative dalla ricezione.

Il nostro team si occuperà del triage della vulnerabilità segnalata e, se necessario, richiederà ulteriori informazioni. Ciò include il chiarimento se sono necessari ulteriori dettagli, se la vulnerabilità rientra nel nostro ambito o se si tratta di una segnalazione duplicata. Se è necessaria una bonifica, il compito viene assegnato internamente ai membri del team interessati.

Le correzioni o le mitigazioni dei bug vengono classificate in base alla gravità dell'impatto e alla complessità dello sfruttamento. Si prega di notare che il trattamento e la risoluzione delle segnalazioni di vulnerabilità possono richiedere del tempo. Sebbene siate invitati a informarvi sullo stato del processo, vi chiediamo gentilmente di non farlo più di una volta ogni 30 giorni. In questo modo i nostri team possono dedicare ampio spazio alla gestione delle segnalazioni.

Una volta risolta la vulnerabilità segnalata o programmato il lavoro di correzione, il team di divulgazione delle vulnerabilità ne darà comunicazione al cliente. Sarete inoltre invitati a confermare se la soluzione risolve adeguatamente la vulnerabilità.

Vulnerabilità qualificanti

Siamo nel 2023 e presumiamo che conosciate i tipi di vulnerabilità più comuni che possono colpire un'azienda online. Se il problema costituisce un rischio tangibile per la nostra posizione di sicurezza, per i dati dei clienti o simili, è probabile che si qualifichi. Vi preghiamo di comprendere che si tratta di una decisione discrezionale che prendiamo caso per caso per ogni segnalazione in arrivo.

Esempi:

  • Iniezione SQL (SQLi)
  • Cross-site scripting (XSS)
  • Esecuzione di codice remoto (RCE)
  • Riferimento diretto insicuro all'oggetto (IDOR)
  • Escalation dei privilegi orizzontale e verticale
  • Bypass dell'autenticazione e autenticazione interrotta
  • Errori di logica aziendale: vulnerabilità con un impatto reale sulla sicurezza
  • Accesso e manipolazione di file locali (LFI, RFI, XXE, SSRF, XSPA)
  • Condivisione incrociata delle risorse (CORS) con un reale impatto sulla sicurezza
  • Cross-site Request Forgery (CSRF) con un reale impatto sulla sicurezza

Legalità

Questa politica è in linea con le migliori pratiche ampiamente riconosciute per la divulgazione delle vulnerabilità. Non autorizza alcuna azione illegale o che possa causare la violazione di obblighi legali da parte di Byrd, tra cui, a titolo esemplificativo e non esaustivo:

  • Legge sull'abuso di computer (1990)
  • Il Regolamento generale sulla protezione dei dati 2016/679 (GDPR) e la legge sulla protezione dei dati del 2018.
  • Legge sul diritto d'autore, sui disegni e sui brevetti (1988)
  • Legge sui segreti ufficiali (1989)

byrd afferma che non perseguirà alcun ricercatore di sicurezza che segnali una vulnerabilità di sicurezza in un servizio o sistema byrd, a condizione che il ricercatore abbia agito in buona fede e in conformità con la presente politica di divulgazione.

Segnalazione di una vulnerabilità

Se si è scoperta una vulnerabilità di sicurezza che si ritiene rientri nell'ambito di applicazione, è necessario innanzitutto controllare i dettagli di cui sopra per maggiori informazioni sull'ambito di applicazione, quindi inviare una segnalazione di vulnerabilità via e-mail all'indirizzo security@getbyrd.com.

Nella presentazione, includere i dettagli di:

  • Il sito web o la pagina in cui è possibile osservare la vulnerabilità.
  • Una breve descrizione del tipo di vulnerabilità, ad esempio una "vulnerabilità XSS".

Quando possibile, il rapporto dovrebbe contenere prove di sfruttamento benigno e non distruttivo. Questo aiuta a valutare il rapporto in modo rapido e accurato, riducendo al contempo il rischio di duplicazioni o di sfruttamento dannoso delle vulnerabilità, come ad esempio l'acquisizione di sottodomini.

Per saperne di più sulla sicurezza alla Byrd

I vostri dati sono una nostra responsabilità.

Tutto in un colpo d'occhio

Per saperne di più sulla sicurezza alla Byrd. Incontra il team responsabile della sicurezza.
Per saperne di più.

Panoramica

sicurezza a byrd#

Sicurezza di Byrd

Come proteggiamo il nostro ambiente di lavoro digitale, le infrastrutture e le applicazioni, i dati e altro ancora. Per saperne di più.

Sicurezza di Byrd

Domande frequenti

Uno dei principi di progettazione della sicurezza di Byrd è la trasparenza. Abbiamo raccolto le domande più frequenti. Per saperne di più

Domande frequenti

Immagine in bianco e nero di persone che effettuano ricerche al computer.
Come visto su
Servizi
FulfillmentNuove impreseRivenditori affermatiImpresePer alimenti e bevandePer la bellezza e la salutePer gli apparecchi elettriciForniture per animali domesticiAccessori e gioielliPortale di restituzione personalizzatoVenditore soddisfatto Prime Logistics
Integrazioni
PanoramicaAmazon FBMBillbeeChannelEngineMiraklPlentymarketsPrestaShopShopifyShopwareWooCommerceXentraleBayProcuratori
Luoghi
Rete di distribuzione europeaAustriaCentro di smistamento FranciaGermaniaPaesi BassiCentro di smistamento ItaliaSpagnaRegno Unito
Chi siamo
SquadraSostenibilitàBlogI nostri clientiStampaCarrieraPartner
Link aggiuntivi
Termini e condizioniInformativa sulla privacyImprontaContattoCentro fiduciarioAiuto
ImprontaInformativa sulla privacy
Cookies
Termini e condizioni generaliContattoAiuto
© Anno - byrd technologies GmbH