Security

Programma Bug Bounty

Trova bug, ricevi ricompense.

Aiutaci a migliorare la nostra sicurezza e guadagna ricompense. Invitiamo i ricercatori di sicurezza a testare i nostri sistemi in modo responsabile. Se trovi una vulnerabilita, ti pagheremo per averla segnalata.

Segnala una vulnerabilita
Regole

Regole di base

  • 1Testa con attenzione: non interrompere i nostri servizi e non utilizzare strumenti di scansione automatizzati.
  • 2Usa solo il tuo account di test. Non tentare mai di accedere agli account di altri utenti.
  • 3Notificaci immediatamente se ottieni accesso ai sistemi interni.
  • 4Mantieni qualsiasi scoperta confidenziale fino a quando non avremo risolto il problema.
  • 5Solo la prima persona a segnalare una vulnerabilita specifica riceve la ricompensa.
Ambito

Cosa cerchiamo

Ricompensiamo le scoperte che rappresentano rischi di sicurezza reali. Le ricompense maggiori vanno ai problemi piu critici:

Accesso non autorizzato ai dati di altri utenti (la semplice conferma dell'esistenza di un account non si qualifica).
Aggiramento dei controlli di sicurezza dell'API (es. evasione dei limiti di velocita, aggiramento dell'autenticazione).
Vulnerabilita di cross-site scripting (XSS).
Esecuzione remota di codice sui nostri server.
Iniezione SQL o altri attacchi di iniezione.
Difetti di autenticazione o gestione delle sessioni.

Ricompensiamo solo le vulnerabilita di sicurezza che potrebbero danneggiare gli utenti o i loro dati, non bug estetici o funzionalita rotte.

Esclusioni

Per cosa non paghiamo

Attacchi di negazione del servizio (DoS/DDoS) o tentativi di forza bruta.
Problemi di contenuto misto o configurazione SSL.
Attacchi di ingegneria sociale o phishing.
Vulnerabilita teoriche senza una prova di concetto funzionante.
Header di sicurezza mancanti o impostazioni di hardening standard (es. politica password, verifica email).
Vulnerabilita in servizi di terze parti o dipendenze fuori dal nostro controllo.
Ricompense

Come paghiamo

Piu critica e la vulnerabilita, maggiore e la ricompensa. Non c'e un tetto fisso. Se trovi qualcosa di particolarmente serio o ingegnoso, ti compenseremo di conseguenza. Gli importi delle ricompense sono determinati in base all'impatto potenziale della vulnerabilita.

I pagamenti vengono elaborati in USD tramite PayPal dopo che la vulnerabilita e stata verificata e risolta. Si applicano le tariffe PayPal standard.

Segnalazione

Come segnalare

01

Invia

Compila il modulo di segnalazione vulnerabilita qui sotto con una descrizione dettagliata e una prova di concetto.

02

Revisione

Il nostro team di sicurezza esaminera la tua segnalazione e rispondera entro 7 giorni lavorativi.

03

Risoluzione

Lavoriamo su una correzione. Potremmo contattarti per dettagli o chiarimenti aggiuntivi.

04

Ricompensa

Una volta verificata e risolta la vulnerabilita, elaboriamo la tua ricompensa in USD tramite PayPal.

Segnalazione

Segnala una vulnerabilita

Compila il modulo qui sotto con il maggior numero di dettagli possibile. Includi i passaggi per riprodurre, la valutazione dell'impatto e qualsiasi prova di concetto.