La sicurezza e fondamentale per mantenere Snipp sicuro per tutti, e contiamo sui ricercatori per aiutarci a trovare e correggere rapidamente le vulnerabilita. Se hai scoperto un problema di sicurezza, vogliamo saperlo. Apprezziamo ogni divulgazione responsabile, buona caccia!
Non intraprenderemo mai azioni legali contro chi segnala vulnerabilita in buona fede e segue le linee guida di questa pagina.
Puntiamo a confermare la ricezione di ogni segnalazione entro 48 ore e ti terremo aggiornato durante l'intero processo di risoluzione.
A seconda della gravita e dell'impatto della tua scoperta, potresti avere diritto a un badge esclusivo sul profilo e a mesi gratuiti del nostro abbonamento PLUS.
I ricercatori che danno un contributo significativo alla sicurezza di Snipp possono guadagnare badge sul profilo mostrati pubblicamente sul loro account.
Assegnato per la tua prima segnalazione di vulnerabilita valida. Riconosce i ricercatori che aiutano a rendere Snipp piu sicuro.
Assegnato dopo 3-5 segnalazioni eccezionali o una singola scoperta critica. Riservato ai ricercatori attivi che individuano i problemi piu rilevanti.
Tutti i test devono essere eseguiti sui tuoi account. Non interagire mai con i dati o gli account di altri utenti ne comprometterli.
Solo i servizi gestiti da Snipp rientrano nell'ambito. Le segnalazioni rivolte a piattaforme di terze parti, anche quelle integrate tramite la nostra API, non saranno accettate.
Evita qualsiasi attivita che possa degradare i nostri servizi o compromettere l'integrita dei dati. Questo include brute forcing, DoS, spam e attacchi basati sul timing.
Gli strumenti di scansione automatica non sono consentiti. Tutti i test devono essere eseguiti manualmente.
Potremmo escludere temporaneamente dall'ambito alcune classi di vulnerabilita mentre le risolviamo internamente. Eventuali modifiche saranno riportate su questa pagina.
Mantieni riservate tutte le scoperte finche non avremo indagato e risolto completamente il problema.
La divulgazione responsabile e il modo migliore per aiutarci a risolvere i problemi rapidamente riducendo al minimo i rischi. Quando ci segnali direttamente, possiamo iniziare a lavorare a una correzione immediatamente senza esporre la vulnerabilita a malintenzionati.
Le scoperte condivise pubblicamente prima che abbiamo avuto la possibilita di risolverle, che sia sui social media, nei forum o altrove, non saranno idonee al riconoscimento del badge. Vogliamo dare credito a chi ci da l'opportunita di sistemare le cose per primi.
Se piu persone segnalano lo stesso problema, valuteremo le segnalazioni in base a:
Chiarezza della spiegazione tecnica
Quanto bene la segnalazione trasmette l'impatto reale
Data e ora dell'invio
Apprezziamo sinceramente ogni ricercatore che dedica del tempo ad aiutarci a rendere Snipp piu sicuro.
Prima di inviare, pensa se il problema ha uno scenario di attacco realistico e un impatto significativo sulla sicurezza. I seguenti sono generalmente esclusi:
Enumerazione degli account
Attacchi che richiedono MITM o accesso fisico al dispositivo di un utente
Clickjacking
Content spoofing e text injection
Vulnerabilita CSRF
Record email SPF, DKIM e DMARC
Flag dei cookie HttpOnly/Secure mancanti
Header CORS aperti
Rate limiting
Segnalazioni da scanner e strumenti automatici
Auto-exploit (come il riutilizzo dei token e lo scripting da console)
Attacchi di ingegneria sociale o phishing rivolti a utenti o staff
Servizi esterni, partner e integrazioni sono al di fuori dell'ambito di questo programma. Solo le vulnerabilita nelle funzionalita e API di proprieta di Snipp sono idonee. Le segnalazioni devono mostrare un chiaro impatto sulla sicurezza di Snipp stesso.
Qualsiasi scenario in cui un attaccante possa ottenere le chiavi API, i token di sessione o le credenziali di un altro utente senza ricorrere all'ingegneria sociale e considerato nell'ambito.
I crash riproducibili del sito web causati da input manipolato o da una normale interazione dell'utente sono considerati nell'ambito, a condizione che non dipendano da esaurimento delle risorse, spam o altre tecniche di denial-of-service.
Le segnalazioni che dipendono dallo sfruttamento di una race condition richiedono prove aggiuntive per essere accettate. Includi almeno uno dei seguenti elementi:
Uno script riproducibile (Python o JavaScript preferibili, anche se vanno bene altri linguaggi)
Una descrizione dettagliata che copra i metodi HTTP, gli endpoint e l'esatto ordine delle richieste necessario per innescare la condizione
Includere uno script rende molto piu facile per noi verificare il problema e velocizza il processo di revisione.
Inviaci un'email con una descrizione chiara del problema, i passaggi per riprodurlo ed eventuali prove a supporto. Ti risponderemo il prima possibile.