Regolamento per la comunicazione sulla sicurezza informatica

Modalità di collaborazione con la comunità di ricerca per potenziare la nostra sicurezza online

TopCashback riconosce e valorizza il fondamentale lavoro di ricerca sulle vulnerabilità di sicurezza svolto da ricercatori ben intenzionati ed etici. Ci impegniamo attivamente a condurre approfondite indagini e risolvere le problematiche di cybersicurezza all'interno della nostra piattaforma e dei nostri servizi in collaborazione con con terze parti e l'intelligence del dark web.Questo documento è finalizzato a delineare il processo mediante il quale TopCashback intende interagire con le comunità di cybersicurezza per migliorare la nostra sicurezza online.

Ambito

Le vulnerabilità riscontrate nei prodotti e nei servizi di TopCashback rientrano nel quadro dello Schema di Bug (Bug Bounty Scheme) solo se soddisfano le seguenti condizioni:

  • Non sono state segnalate precedentemente o identificate tramite le nostre procedure interne;
  • È possibile dimostrare che lo sfruttamento della vulnerabilità segnalata potrebbe avere un impatto reale su TopCashback, sul suo personale o sui suoi membri da parte di un agente minaccioso. La mera esistenza di una vulnerabilità non garantisce automaticamente il rischio di un tale impatto: gli impatti presunti non saranno inclusi nel programma;
  • La vulnerabilità si trova all'interno di un dominio che dispone di un file security.txt nella sua cartella esposta. I sottodomini saranno inclusi purché il dominio principale sia incluso (ad esempio, se esiste https:///.well-known/security.txt, allora anche sottodominio.topcashback.it e www.topcashback.it saranno inclusi);

Le seguenti problematiche di sicurezza attualmente non rientrano nel programma, si prega quindi di non segnalare:

  • Vulnerabilità volumetriche/Impossibilità di accedere al sito (cioè un sovraccarico del nostro servizio con un alto volume di richieste);
  • Debolezze nella configurazione di TLS (ad esempio, supporto a suite crittografiche "deboli", supporto a TLS1.0, sweet32 ecc.);
  • Segnalazioni che evidenziano una non conformità dei nostri servizi alle "migliori prassi" (ad esempio, mancanza di header di sicurezza o configurazioni non ottimali per le email, come SPF, DMARC ecc.);
  • Problemi legati alla verifica degli indirizzi email utilizzati per creare gli account utente;
  • Vulnerabilità di clickjacking;
  • Self XSS (cioè quando un utente è ingannato a incollare del codice nel proprio browser);
  • CSRF dove l'eventuale impatto è minimo;
  • Attacchi CRLF dove l'eventuale impatto è minimo;
  • Host Header injection dove l'eventuale impatto è minimo;
  • Tecniche di enumerazione dei dati di rete (ad esempio, banner grabbing);
  • Segnalazioni di gestione impropria delle sessioni (Session Management) o vulnerabilità di dirottamento di sessione.

Schema di Bug

Purtroppo, al momento TopCashback non offre un programma di bug bounty retribuito. Tuttavia, desideriamo comunque dimostrare il nostro apprezzamento verso i ricercatori di sicurezza che dedicano il proprio tempo ed energie per indagare e segnalare vulnerabilità in accordo con questa politica. Ai ricercatori che identificano vulnerabilità idonee verrà offerta una ricompensa esclusiva da parte di TopCashback.

Segnalazione di una vulnerabilità

Se hai individuato un problema che ritieni possa costituire una vulnerabilità di sicurezza che rientra nell'ambito delineato (per ulteriori dettagli sull'ambito, consulta la sezione precedente), ti preghiamo di inviare una email a protect@topcashback.co.uk includendo le seguenti informazioni:

  • Il sito web o la pagina in cui è presente la vulnerabilità;
  • Una breve descrizione della tipologia di vulnerabilità (ad esempio, "Vulnerabilità XSS"). Ti preghiamo di evitare di includere dettagli che possano consentire la riproduzione del problema in questa fase. I dettagli saranno richiesti successivamente;

In conformità con le pratiche standard del settore, chiediamo ai ricercatori di fornire una prova benigna (cioè non dannosa) di sfruttamento, se possibile. Questo aiuta a garantire una valutazione rapida ed accurata della segnalazione, riducendo al contempo il rischio di segnalazioni duplicate e/o di sfruttamenti malevoli per alcune categorie di vulnerabilità (come ad esempio l'acquisizione di sottodomini). Ti preghiamo di non includere la prova di sfruttamento in chiaro nell'email iniziale se la vulnerabilità è ancora sfruttabile. Assicurati inoltre che tutte le prove di sfruttamento rispettino la nostra guida (vedi sotto); in caso di dubbio, ti preghiamo di contattarci all'indirizzo protect@topcashback.co.uk per ottenere consulenza.

Ti preghiamo di leggere l'intero documento prima di segnalare qualsiasi vulnerabilità, in modo da garantire una piena comprensione della politica e come agire in conformità con essa.

Cosa aspettarsi

In risposta alla tua email iniziale inviata a protect@topcashback.co.uk, riceverai una conferma di ricezione entro 72 ore dal team di sicurezza di TopCashback. Questa email di conferma conterrà un numero di riferimento del ticket da citare in qualsiasi futura comunicazione con il nostro team di sicurezza. In allegato alla conferma sarà presente una chiave PGP che potrai utilizzare per cifrare le comunicazioni future contenenti informazioni riservate.

Successivamente al primo contatto, il nostro Team di Sicurezza procederà con la classificazione della vulnerabilità segnalata e ti risponderà il prima possibile per confermare se sono necessarie ulteriori informazioni e/o se la vulnerabilità rientra nel suddetto ambito o costituisce una segnalazione duplicata. Da questo momento, il lavoro di correzione necessario sarà assegnato alle squadre adeguate di TopCashback e/o fornitori. La priorità per la correzione dei bug e/o le mitigazioni sarà assegnata in base alla gravità dell'impatto e alla complessità dello sfruttamento. La classificazione e/o la correzione delle segnalazioni di vulnerabilità potrebbero richiedere del tempo; sei libero di informarti sullo stato dell'intervento, ma ti preghiamo di farlo non più di una volta ogni 14 giorni, in modo da consentire al nostro Team di Sicurezza di concentrarsi il più possibile sulle segnalazioni.

Linee Guida

I riceratori di sicurezza non devono:

  • Accedere a quantità di dati non necessarie. Ad esempio, 2 o 3 casi sono sufficienti per dimostrare la maggior parte delle vulnerabilità (come una vulnerabilità di enumerazione o di riferimento diretto all'oggetto).
  • Violare la privacy degli utenti, del personale, dei collaboratori, dei sistemi di TopCashback e così via. Ad esempio, condividendo, ridistribuendo e/o non proteggendo adeguatamente i dati recuperati dai nostri sistemi o servizi;
  • Comunicare qualsiasi vulnerabilità o dettaglio associato tramite metodi non descritti in questa politica o con chiunque all'infuori del tuo contatto di sicurezza Topcashback dedicato;
  • Modificare dati nei nostri sistemi/servizi che non appartengono a te;
  • Compromettere il nostro/i nostri servizio/i e/o sistemi; o
  • Divulgare qualsiasi vulnerabilità nei sistemi/servizi di TopCashback a terze parti o al pubblico prima che TopCashback confermi che tali vulnerabilità siano state mitigate o risolte. Ciò non impedisce la segnalazione di una vulnerabilità a terze parti direttamente interessate, ad esempio quando la vulnerabilità segnalata riguarda una libreria software o un framework. Tuttavia, nei resoconti non devono essere forniti dettagli specifici sulla vulnerabilità di TopCashback. Se non sei sicuro dello status di una terza parte a cui desideri inviare una notifica, invia un'email a protect@topcashback.co.uk per ottenere chiarimenti.

Chiediamo che tutti i dati recuperati durante la ricerca siano eliminati in modo sicuro appena non sono più necessari e al massimo entro 1 mese dalla risoluzione della vulnerabilità, a seconda di quale avvenga prima. Inoltre, chiediamo di confermare tramite email a protect@topcashback.co.uk quando è avvenuta questa cancellazione.

Se in qualsiasi momento non sei sicuro se le azioni che stai considerando siano corrette/accettabili, contatta il nostro team di sicurezza per ottenere indicazioni (ti preghiamo di non includere informazioni sensibili nelle comunicazioni iniziali): protect@topcashback.co.uk.

Aspetti legali

Questa politica è progettata per essere compatibile con le pratiche comuni tra ricercatori di sicurezza ben intenzionati. Non ti autorizza a agire in modo incoerente con la legge o a far sì che TopCashback violi qualsiasi delle sue obbligazioni legali, inclusi ma non limitati a:

  • La Legge sulla Criminalità Informatica (1990)
  • Il Regolamento Generale sulla Protezione dei Dati 2016/679 (RGPD) e la Legge sulla Protezione dei Dati 2018
  • La Legge sul Copyright, sui Design e sui Brevetti (1988)

Il Gruppo Topcashback non perseguirà legalmente nessun ricercatore di sicurezza che segnali, in buona fede e in conformità con questa politica, qualsiasi vulnerabilità di sicurezza su un servizio TopCashback incluso nell'ambito di questa politica.

Riscontro

Se desideri fornire feedback o suggerimenti su questa politica, contatta il nostro team di sicurezza: protect@topcashback.co.uk. Questa politica si evolverà nel tempo e il tuo contributo sarà apprezzato per garantire che sia chiara, completa e rimanga pertinente.