Sicurezza

Programma Bug Bounty. Trova vulnerabilita, ricevi ricompense.

Aiutaci a migliorare la nostra sicurezza e guadagna ricompense. Invitiamo i ricercatori di sicurezza a testare i nostri sistemi in modo responsabile. Se trovi una vulnerabilita, ti pagheremo per averla segnalata.

Segnala una vulnerabilita

Regole

Regole di base

  • Testa con cautela: non interrompere i nostri servizi e non utilizzare strumenti di scansione automatizzati.
  • Utilizza solo il tuo account di test. Non tentare mai di accedere agli account di altri utenti.
  • Avvisaci immediatamente se ottieni accesso ai nostri sistemi interni.
  • Mantieni le tue scoperte confidenziali fino a quando non avremo risolto il problema.
  • Solo la prima persona a segnalare una vulnerabilita specifica riceve la ricompensa.

Ambito

Cosa cerchiamo

Ricompensiamo le scoperte che rappresentano reali rischi di sicurezza. Le ricompense sono piu alte per i problemi critici:

  • Accesso non autorizzato ai dati di altri utenti (la semplice conferma dell'esistenza di un account non conta).
  • Eludere i controlli di sicurezza API (es: eludere rate-limit, bypass autenticazione).
  • Vulnerabilita Cross-site scripting (XSS).
  • Esecuzione di codice remoto sui nostri server.
  • Iniezione SQL o altri attacchi di iniezione.
  • Difetti di autenticazione o gestione delle sessioni.

Ricompensiamo solo le vulnerabilita di sicurezza che possono danneggiare gli utenti o i loro dati, non bug estetici o funzionalita non funzionanti.

Esclusioni

Cosa non paghiamo

  • Attacchi denial of service (DoS/DDoS) o tentativi di forza bruta.
  • Problemi di contenuto misto o configurazione SSL.
  • Ingegneria sociale o attacchi di phishing.
  • Vulnerabilita teoriche senza proof of concept funzionante.
  • Header di sicurezza mancanti o impostazioni di hardening standard (es: politica password, verifica email).
  • Vulnerabilita in servizi di terze parti o dipendenze fuori dal nostro controllo.

Ricompense

Come paghiamo

Piu critica e la vulnerabilita, piu alta e la ricompensa. Non c'e un tetto fisso. Se trovi qualcosa di particolarmente serio o ingegnoso, ti ricompenseremo di conseguenza. Gli importi sono determinati in base all'impatto potenziale della vulnerabilita.

I pagamenti sono effettuati in USD tramite PayPal dopo la verifica e la risoluzione della vulnerabilita. Si applicano le tariffe standard di PayPal.

Segnalare

Come segnalare

01

Invia

Compila il modulo di segnalazione qui sotto con una descrizione dettagliata e una proof of concept.

02

Revisione

Il nostro team di sicurezza esaminer il tuo rapporto e rispondera entro 7 giorni lavorativi.

03

Risoluzione

Lavoriamo su una correzione. Potremmo contattarti per ulteriori dettagli.

04

Ricompensa

Una volta verificata e risolta la vulnerabilita, elaboriamo la tua ricompensa in USD tramite PayPal.

Segnala una vulnerabilita

Compila il modulo qui sotto con il maggior numero di dettagli possibile. Includi i passaggi di riproduzione, la valutazione dell'impatto e qualsiasi proof of concept.