Programma Bug Bounty

FlowHunt si impegna a mantenere il proprio servizio sicuro per tutti, e la sicurezza dei dati è di massima importanza. Se sei un ricercatore di sicurezza e hai scoperto una vulnerabilità nel Servizio, apprezziamo il tuo aiuto nel segnalarcela privatamente e nel darci l’opportunità di risolverla prima di pubblicare dettagli tecnici.

FlowHunt collaborerà con i ricercatori di sicurezza quando le vulnerabilità saranno segnalate come qui descritto. Verificheremo, risponderemo e correggeremo le vulnerabilità a supporto del nostro impegno per la sicurezza e la privacy. Non intraprenderemo azioni legali, né sospenderemo o termineremo l’accesso al servizio di chi scopre e segnala responsabilmente vulnerabilità di sicurezza. FlowHunt si riserva tutti i diritti legali in caso di mancato rispetto delle regole.

Requisiti di idoneità

Per essere idoneo al nostro programma bug bounty, devi:

• Avere almeno 18 anni
• Non essere un attuale o ex dipendente, collaboratore o familiare diretto di FlowHunt
• Non essere soggetto a sanzioni USA o residente in un paese con embargo USA
• Rispettare tutte le leggi e regolamenti applicabili
• Seguire pratiche di disclosure responsabile

Segnalazione

Condividi i dettagli di qualsiasi vulnerabilità sospetta con il Team Sicurezza di FlowHunt scrivendo a support@flowhunt.io . Ti chiediamo di non divulgare pubblicamente questi dettagli al di fuori di questa procedura senza esplicito permesso.

Requisiti di qualità della segnalazione

La tua segnalazione di vulnerabilità dovrebbe includere:

• Sommario: Breve descrizione della vulnerabilità
• Impatto: Potenziale impatto sulla sicurezza e rischio per il business
• Passaggi per riprodurre: Istruzioni dettagliate, passo dopo passo
• Proof of Concept: Evidenza che dimostri la vulnerabilità
• Risorse coinvolte: URL, parametri o componenti specifici
• Valutazione gravità: La tua valutazione del livello di gravità
• Suggerimenti di mitigazione: Correzioni consigliate (opzionale)

Se desideri inviare più segnalazioni contemporaneamente, invia solo una segnalazione (la più importante se possibile) e attendi una risposta.

Tempi di risposta

• Ricevuta conferma: Entro 5 giorni lavorativi dall’invio della segnalazione
• Valutazione iniziale: Entro 10 giorni lavorativi
• Obiettivo di risoluzione: Entro 90 giorni per vulnerabilità valide
• Aggiornamenti: Aggiornamenti regolari sullo stato durante tutto il processo

Compensazione

Siamo lieti di offrire una ricompensa per le informazioni sulle vulnerabilità che ci aiutano a proteggere i nostri clienti come ringraziamento ai ricercatori che scelgono di partecipare al nostro programma bug bounty.

Classificazione della gravità

Gravità Critica ($100):

• Esecuzione di codice da remoto
• SQL injection con accesso ai dati
• Bypass autenticazione che coinvolge più utenti
• Escalation privilegi a livello amministratore
• Compromissione completa dell’account

Gravità Media ($50):

• Cross-site scripting (XSS) con impatto significativo
• Bypass dei controlli di accesso su dati limitati
• Directory traversal con accesso ai file
• Vulnerabilità nella gestione delle sessioni
• Autenticazione compromessa su singoli utenti

Bassa Gravità (Non idonea alla ricompensa):

• Divulgazione di informazioni minori
• Self-XSS senza vettore di attacco realistico
• Problemi di rate limiting
• Header di sicurezza mancanti senza impatto sfruttabile

Termini di pagamento

• Le ricompense sono pagate esclusivamente tramite PayPal
• I ricercatori devono generare e inviare una fattura PayPal
• Non sono disponibili altri metodi di pagamento
• Pagamento entro 30 giorni dalla ricezione della fattura
• Tutti i pagamenti sono soggetti alle normative fiscali applicabili

Premiamo solo il primo segnalatore di una vulnerabilità. Le segnalazioni duplicate non verranno premiate.

Ambito

In Scope

Puoi testare solo su un account FlowHunt di cui sei il proprietario o un agente autorizzato dal proprietario dell’account per effettuare tali test. Ad esempio: tuodominio.flowhunt.io

Asset idonei:

• Domini e sottodomini *.flowhunt.io
• Applicazioni web e API FlowHunt
• Applicazioni mobile FlowHunt (se applicabile)

Tipologie di vulnerabilità idonee:

• Remote Command Execution (RCE)
• SQL Injection
• Autenticazione compromessa
• Gestione sessioni compromessa
• Bypass dei controlli di accesso
• Cross-Site Scripting (XSS)
• Open URL Redirection
• Directory Traversal
• Server-Side Request Forgery (SSRF)
• Difetti di logica di business

Out of Scope

Attività vietate:

• Attacchi di social engineering (phishing, vishing, ecc.)
• Attacchi fisici o accesso fisico a sedi FlowHunt
• Attacchi Denial of Service (DoS) o Distributed Denial of Service (DDoS)
• Spam, comunicazioni massive o utilizzo di tool automatici sui nostri sistemi
• Attacchi a livello di rete o scansioni di infrastruttura
• Attacchi che richiedono accesso fisico ai dispositivi degli utenti
• Attacchi brute force o cracking password
• Test su account che non possiedi o per cui non hai esplicita autorizzazione

Segnalazioni non idonee:

• Segnalazioni dove l’attaccante può minacciare solo il proprio account
• XSS causato da un Admin o utente privilegiato
• Vulnerabilità che richiedono un’interazione utente improbabile
• Problemi che richiedono l’installazione di software malevolo da parte dell’utente
• Vulnerabilità teoriche senza un chiaro percorso di sfruttamento
• Spoofing di contenuti senza impatto sulla sicurezza
• Mancanza di rate limiting senza impatto dimostrabile
• Problemi che riguardano solo browser o piattaforme obsolete

Regole del programma

Linee guida di test

• Effettua test solo su account di cui sei proprietario o per cui hai esplicita autorizzazione
• Non accedere, modificare o eliminare dati appartenenti ad altri utenti
• Non interrompere i nostri servizi o degradare le performance
• Limita i test automatizzati per evitare interruzioni del servizio
• Non divulgare pubblicamente le vulnerabilità prima che vengano risolte
• Impegnati in buona fede a evitare violazioni della privacy e distruzione di dati

Safe Harbor & Protezione legale

FlowHunt si impegna a:

• Non intraprendere azioni legali contro i ricercatori che rispettano questa policy
• Collaborare con i ricercatori per comprendere e validare le problematiche di sicurezza
• Riconoscere i contributi validi alla nostra sicurezza
• Mantenere la riservatezza e non condividere l’identità dei ricercatori senza permesso

I ricercatori devono:

• Rispettare tutte le leggi e i regolamenti applicabili
• Accedere solo ai dati necessari a dimostrare la vulnerabilità
• Segnalare le vulnerabilità tempestivamente e in buona fede
• Non sfruttare le vulnerabilità oltre quanto necessario a scopo dimostrativo

Timeline di disclosure

• Immediata: Segnalazione inviata a support@flowhunt.io
• 90 giorni: Disclosure standard dopo la prima segnalazione
• Coordinata: Disclosure pubblica solo dopo accordo reciproco
• Emergenza: Le vulnerabilità critiche possono avere tempistiche accelerate

I ricercatori possono divulgare pubblicamente le vulnerabilità 90 giorni dopo la prima segnalazione, o dopo che FlowHunt conferma che il problema è stato risolto, a seconda di quale evento si verifichi per primo. Incoraggiamo la disclosure coordinata e collaboreremo con i ricercatori per stabilire i tempi più appropriati.