Programma di divulgazione delle vulnerabilità

Hai trovato una vulnerabilità?
Segnalacela prima.

Esaminiamo ogni segnalazione credibile. Hall of Fame prima di tutto; un pagamento volontario di riconoscimento può essere preso in considerazione caso per caso.

Mostra la chiave PGP

Il nostro approccio

La sicurezza è un lavoro di squadra.

I ricercatori di sicurezza non sono avversari. Spesso sono i primi a individuare vere vulnerabilità. Li trattiamo con rispetto: risposte oneste, condizioni chiare e riconoscimento equo. Questo è un Programma di divulgazione delle vulnerabilità con possibile riconoscimento nella Hall of Fame e piccoli pagamenti di riconoscimento opzionali dopo una valutazione caso per caso. Non è un programma bug bounty tradizionale con pagamenti fissi o garantiti.

Apple riconosce il nostro fondatore Chris Bohn per nome in un aggiornamento di sicurezza ufficiale relativo a una vulnerabilità del kernel segnalata in OS X (CVE-2013-1029). Sappiamo per esperienza diretta quanto lavoro richieda una buona segnalazione e quanto sia importante un trattamento equo. Fonte: support.apple.com/en-us/103517

Come funziona

Dalla segnalazione alla correzione in tre passaggi.

Niente burocrazia. Niente moduli. Nessun processo nascosto.

Passaggio 01

Segnala

Invia un’e-mail a . Descrivi la risorsa interessata, i passaggi per riprodurre il problema e l’impatto realistico. Più precisa è la tua segnalazione, più rapidamente possiamo valutarla.

Passaggio 02

Triage

Esaminiamo le segnalazioni credibili e di solito rispondiamo entro pochi giorni lavorativi. In caso di ritardi, ti terremo aggiornato.

Passaggio 03

Correzione e riconoscimento

Le correzioni vengono priorizzate in base alla gravità. Le segnalazioni idonee e validate possono essere accreditate nella nostra Hall of Fame. Per vulnerabilità di prodotto idonee, valutiamo il coordinamento CVE.

RFC 9116

security.txt

Stai usando uno scanner o controllando /.well-known/security.txt? Sei nel posto giusto.


# https://www.protectstar.com/.well-known/security.txt

Contact: mailto:security@protectstar.com
Encryption: https://www.protectstar.com/security/pgp.asc
Policy: https://www.protectstar.com/security
Acknowledgments: https://www.protectstar.com/security/acknowledgments
Preferred-Languages: en, de
Canonical: https://www.protectstar.com/.well-known/security.txt
Canonical: https://protectstar.com/.well-known/security.txt
Expires: 2027-05-19T23:59:59Z

Apri il file live · Formato secondo RFC 9116

Ambito

Cosa rientra nell’ambito.

Partiamo con un ambito volutamente ristretto, così il nostro team può esaminare ogni segnalazione in modo approfondito. Le segnalazioni su app e API sono benvenute, ma vengono valutate caso per caso.

In ambito

www.protectstar.com & protectstar.com Aree pubbliche del sito web gestite direttamente da Protectstar
Meccanismi di integrità di update e download documentati pubblicamente Firme e hash ospitati sull’infrastruttura Protectstar
Metadati di integrità dei file pubblicati Pubblicati su protectstar.com
Ulteriori sottodomini Solo se elencati esplicitamente o confermati da noi per iscritto

Fuori ambito

Sistemi e servizi di terze parti Provider di shop e pagamenti, app store, CDN/hosting, engine esterni, SDK e servizi partner
API, server di licenza/attivazione e sistemi interni non confermati esplicitamente
Social engineering e phishing Azioni rivolte a dipendenti, supporto o partner
DoS / DDoS / test di volume
Attacchi fisici
Self-XSS e header di best practice mancanti senza impatto
Versioni beta / TestFlight / pre-release

App, API backend, software desktop: Le segnalazioni sono benvenute, ma non rientrano automaticamente nell’ambito né sono automaticamente idonee al riconoscimento. Valutiamo ogni segnalazione caso per caso.

Safe Harbor

Fai ricerca in buona fede. Ti tratteremo in modo equo.

Se conduci ricerca di sicurezza in buona fede, nel rispetto di questa politica ed esclusivamente su risorse esplicitamente indicate come in ambito o confermati da noi per iscritto, consideriamo tale ricerca autorizzata. Protectstar non avvierà né sosterrà azioni legali per tale ricerca nella misura in cui le pretese rientrino nel nostro controllo.

Requisiti

Nessuno sfruttamento oltre quanto necessario per dimostrare la vulnerabilità
Nessuna divulgazione della vulnerabilità a terzi prima di una correzione
Nessuna esfiltrazione, modifica, eliminazione, archiviazione o condivisione di dati che non ti appartengono. Usa account di test quando possibile
Nessuna pubblicazione o divulgazione senza coordinamento preventivo e approvazione scritta; 90 giorni sono la nostra linea guida, non un’autorizzazione automatica
Nessuna interruzione intenzionale del servizio o distruzione di dati
Rispetto delle leggi applicabili a te, alla tua ricerca e ai sistemi interessati

Se vedi accidentalmente dati che non ti appartengono, fermati immediatamente. Non accedervi ulteriormente, non copiarli, modificarli, eliminarli, salvarli o condividerli, e segnala solo le informazioni minime necessarie per la verifica. Questa garanzia si applica esclusivamente a pretese sotto il controllo di Protectstar e non autorizza alcuna condotta vietata dalla legge. Non si estende ad attività contro sistemi, servizi, reti o dati di terze parti e non impedisce azioni indipendenti da parte di terzi. In caso di dubbio: chiedi prima, non dopo.

Riconoscimento

Hall of Fame prima di tutto. Piccoli pagamenti di riconoscimento caso per caso.

Protectstar non gestisce un programma bug bounty tradizionale con pagamenti fissi o garantiti. Il nostro focus è su una valutazione equa, una correzione coordinata e un possibile riconoscimento nella Hall of Fame per le segnalazioni che soddisfano i nostri requisiti. Inoltre, Protectstar può, a sua esclusiva discrezione, offrire un piccolo pagamento volontario di riconoscimento per segnalazioni particolarmente utili, validate, precedentemente sconosciute e in ambito. Non esiste alcun diritto al pagamento; qualsiasi decisione di concedere un pagamento, e il relativo importo, viene presa solo dopo la validazione della segnalazione tecnica completa.

Requisiti per un possibile riconoscimento nella Hall of Fame

Valido e documentato in modo riproducibile
Precedentemente sconosciuto e non già in revisione interna
In ambito secondo le aree elencate sopra
Presentato per primo (conta il primo segnalante)
Segnalato senza violare questa politica
Materialmente rilevante per la sicurezza di Protectstar o dei nostri utenti
Senza minacce o richieste di pagamento prima, durante o dopo la segnalazione

Classificazione della gravità

La gravità influenza la priorità della correzione e il possibile riconoscimento. La Hall of Fame resta la nostra forma primaria di riconoscimento.

Gravità	Esempi comuni	Possibile riconoscimento
Critica	Remote code execution, bypass dell’autenticazione, fuga massiva di dati, compromissione dell’integrità degli aggiornamenti	Hall of Fame; un piccolo pagamento volontario di riconoscimento può essere valutato dopo revisione caso per caso
Alta	Escalation di privilegi, debolezze crittografiche con impatto, takeover dell’account	Hall of Fame; un piccolo pagamento volontario di riconoscimento può essere valutato dopo revisione caso per caso
Media	Stored XSS, IDOR con impatto dimostrabile, problemi di sessione	Hall of Fame; un piccolo pagamento opzionale di riconoscimento può essere valutato in caso di impatto chiaro e riproducibile
Bassa	Reflected XSS con impatto limitato, divulgazione di informazioni senza conseguenze	Di norma Hall of Fame o ringraziamento; riconoscimento monetario solo in casi eccezionali

La gravità viene valutata usando CVSS 4.0 o CVSS 3.1 come linea guida. La valutazione finale spetta a Protectstar; su richiesta possiamo spiegare per iscritto eventuali valutazioni divergenti. Non negoziamo importi prima di aver ricevuto e validato la segnalazione tecnica completa.

Tempi di risposta

I nostri tempi target.

Siamo un team snello, non un SOC 24/7. Questi numeri sono i nostri obiettivi. In caso di ritardi, ti informeremo.

3 giorni lavorativi Conferma di ricezione (target)

10 giorni lavorativi Prima triage tecnica (target)

90 giorni Divulgazione coordinata (target)

Crittografia

Chiave PGP.

Per dettagli sensibili sulle vulnerabilità, puoi cifrare la tua segnalazione.

Fingerprint

B8DB 47D7 DBE5 DD63 7C65 80E0 3513 CE31 BD10 B7AD

ID chiave

0x3513CE31BD10B7AD

Identità

PROTECTSTAR Support Hero
< >

Questa chiave è attualmente associata a e autorizzata da Protectstar per la comunicazione cifrata con .

Scarica chiave

Hall of Fame

Chi ci ha aiutato.

Ricercatori di sicurezza che hanno usato il nostro programma in modo responsabile e hanno contribuito a rendere i nostri prodotti più sicuri.

Ancora nessuna voce.

Il nostro programma è appena stato lanciato. Le segnalazioni che soddisfano i nostri requisiti potranno essere accreditate qui.

Su richiesta, indicazione con nome legale o pseudonimo. Per vulnerabilità di prodotto idonee, valutiamo il coordinamento CVE tramite un CNA appropriato.

Domande frequenti

Prima di chiedere.

Che cosa significa "in buona fede"?

Ricerca in buona fede significa seguire questa politica, dimostrare una vulnerabilità senza sfruttarla oltre il necessario, segnalarla prima a noi e concederci il tempo di correggerla. Il Safe Harbor non si applica più se superi quel limite, esfiltri dati degli utenti o trattieni dettagli tecnici per richiedere un pagamento.

Sarò pagato per la mia segnalazione?

Non automaticamente. Protectstar non gestisce un programma bug bounty tradizionale con pagamenti fissi o garantiti. La Hall of Fame è la nostra forma primaria di riconoscimento. Per segnalazioni particolarmente utili, validate, precedentemente sconosciute e in ambito, possiamo offrire a nostra esclusiva discrezione un piccolo pagamento volontario di riconoscimento. Non negoziamo ricompense prima di aver ricevuto e validato la segnalazione tecnica completa.

E se volessi segnalare in forma anonima?

Accettiamo segnalazioni anonime e li valutiamo tecnicamente allo stesso modo. Su richiesta, ti accrediteremo nella Hall of Fame con uno pseudonimo, purché i requisiti siano soddisfatti.

Come viene determinata la gravità?

Usiamo CVSS 4.0 o CVSS 3.1 come linea guida e lo integriamo con i fattori di impatto della tua dimostrazione. La valutazione finale spetta a Protectstar. Se la nostra valutazione differisce dalla tua, possiamo spiegarla su richiesta.

La mia segnalazione riceverà un ID CVE?

Per vulnerabilità di prodotto idonee, valutiamo il coordinamento CVE tramite un CNA appropriato o un altro canale idoneo. Un ID CVE non è garantito e dipende dalle regole CVE del CNA.

Posso usare scanner automatici?

Sì, ma solo in modo non invasivo, con limiti di frequenza e su risorse esplicitamente elencate come in ambito. Strumenti aggressivi, alte frequenze di richiesta o test che potrebbero influire sulla disponibilità per altri utenti non sono consentiti. Output grezzo di scanner senza impatto verificato, come header mancanti, note TLS o divulgazione della versione, non è idoneo al riconoscimento. In caso di dubbio: chiedi prima.

Come vengono gestite le segnalazioni duplicate?

Conta il primo segnalante. Se una vulnerabilità è già nota internamente o è già stata segnalata, non è idonea al riconoscimento. Te lo comunicheremo il prima possibile.

La mia segnalazione riguarda un’app o un’API backend. Rientra nell’ambito?

Le segnalazioni su app e API Protectstar sono benvenute. In questa prima fase, tuttavia, vengono valutati caso per caso e non sono automaticamente idonei al riconoscimento, a meno che la risorsa interessata non sia esplicitamente elencata sopra o confermata da noi per iscritto. In ogni caso, inviaci pure la tua segnalazione.

Inviaci la tua segnalazione.

Esaminiamo le segnalazioni credibili e di solito rispondiamo entro pochi giorni lavorativi.

PGP disponibile · security.txt secondo RFC 9116 · Safe Harbor per ricerca in buona fede