Accordo di Vulnerabilità

Ultimo aggiornamento: 31 ottobre 2024.

Introduzione

Questa politica di divulgazione delle vulnerabilità si applica a qualsiasi vulnerabilità che si sta pensando di segnalare a Backorder Ltd (“noi”, "noi" o “nostro”).

Raccomandiamo di leggere integralmente questa politica di divulgazione delle vulnerabilità prima di segnalare una vulnerabilità e di agire sempre in conformità con essa.

Apprezziamo chi si prende il tempo e l'impegno di segnalare le vulnerabilità di sicurezza secondo questa politica. Tuttavia, non offriamo ricompense in denaro per le segnalazioni di vulnerabilità.

Campo di applicazione

https://backorder.com

Segnalazione

Se ritenete di aver trovato una vulnerabilità di sicurezza relativa al nostro sito web, siete pregati di inviare una segnalazione di vulnerabilità in inglese, all'indirizzo definito nel file security.txt pubblicato.

La tua segnalazione deve includere:

  • L'URL o la pagina del sito web in cui è possibile osservare la vulnerabilità
  • Breve descrizione del tipo di vulnerabilità
  • Fasi di riproduzione. Dovrebbe trattarsi di una prova di concetto benigna e non distruttiva. Questo aiuta a garantire che il rapporto possa essere analizzato in modo rapido e accurato.

Cosa aspettarsi

Dopo l'invio della segnalazione, risponderemo entro 5 giorni lavorativi e cercheremo di risolvere il problema entro 10 giorni lavorativi. Ci impegniamo inoltre a tenervi informati sui nostri progressi.

La priorità per la bonifica viene valutata in base all'impatto, alla gravità e alla complessità dell'exploit. Le segnalazioni di vulnerabilità potrebbero richiedere un certo tempo per essere elaborate o risolte. Siete invitati a chiedere informazioni sullo stato, ma dovreste evitare di farlo più di una volta ogni 14 giorni. Questo ci permette di concentrarci sulla riparazione.

Vi informeremo quando la vulnerabilità segnalata sarà stata rimediata e potreste essere invitati a confermare che la soluzione copre adeguatamente la vulnerabilità.

Una volta risolta la vulnerabilità, accogliamo con favore le richieste di divulgazione del rapporto. Vorremmo unificare la nostra guida, quindi continuate a coordinare la divulgazione con noi.

Guida

NON devi:

  • Infrangere qualsiasi legge o regolamento applicabile.
  • Accedere a quantità di dati non necessarie, eccessive o significative.
  • Modificare i dati nei nostri sistemi o servizi.
  • Utilizzare strumenti di scansione invasivi o distruttivi ad alta intensità per trovare le vulnerabilità.
  • Tentare o segnalare qualsiasi forma di negazione del servizio, ad esempio sovraccaricare un servizio con un elevato volume di richieste.
  • Interrompere i nostri servizi o sistemi.
  • Presentare rapporti che indichino vulnerabilità non sfruttabili o rapporti che indichino che i servizi non sono completamente in linea con le “best practice”, ad esempio intestazioni di sicurezza mancanti.
  • Presentare rapporti che illustrino le debolezze della configurazione TLS, ad esempio il supporto di suite di cifratura “deboli” o la presenza del supporto TLS1.0.
  • Comunicare eventuali vulnerabilità o dettagli associati con mezzi diversi da quelli descritti nel file security.txt pubblicato.
  • Effettuare operazioni di social engineering, “phish” o attaccare fisicamente il nostro personale o la nostra infrastruttura.
  • Chiedere un compenso finanziario per rivelare eventuali vulnerabilità.

È necessario:

  • Rispettare sempre le norme sulla protezione dei dati e non violare la privacy dei dati in nostro possesso. Non dovete, ad esempio, condividere, ridistribuire o non proteggere adeguatamente i dati recuperati dai sistemi o dai servizi.
  • Eliminare in modo sicuro tutti i dati recuperati durante la ricerca non appena non sono più necessari o entro 1 mese dalla risoluzione della vulnerabilità, a seconda di quale situazione si verifichi per prima (o come altrimenti richiesto dalla legge sulla protezione dei dati)..

Legalità

Questa politica è stata concepita in modo da essere compatibile con le comuni pratiche di divulgazione delle vulnerabilità. Non vi autorizza ad agire in modo incompatibile con la legge o che possa causare una violazione degli obblighi legali.