Bug Bounty
Segnalazione di vulnerabilità della sicurezza o della privacy
La politica Bug Bounty di TaxDome si applica alle vulnerabilità di sicurezza riscontrate nell’ambiente online rivolto al pubblico.
Scopo
Lo scopo della politica è quello di stabilire le regole per l’esame, la valutazione, l’applicazione e la verifica degli aggiornamenti del sistema per ridurre le vulnerabilità dell’ambiente IT e i rischi ad esse associati. Se si ritiene di aver scoperto una vulnerabilità della sicurezza o della privacy nel prodotto TaxDome, si prega di segnalarcela.
Disabilitazione dei cookie
È possibile impedire l’impostazione dei cookie modificando le impostazioni del browser (per informazioni su come farlo, consultare la Guida del browser). Tenete presente che la disabilitazione dei cookie influisce sulla funzionalità di questo e di molti altri siti web che visitate. La disabilitazione dei cookie di solito comporta anche la disabilitazione di alcune funzionalità e caratteristiche di questo sito. Pertanto, si consiglia di non disabilitare i cookie.
Idoneità del Bounty
Ogni ricercatore di sicurezza è tenuto a non intraprendere alcuna azione distruttiva che possa provocare:
- Perdita di dati da parte di altri utenti
- Negazione del servizio per altri utenti
- Aggiunta a un elenco di blocco
Nel caso in cui si sospetti l’esistenza di una vulnerabilità di questo tipo, si prega di contattare il team di sviluppo di TaxDome all’indirizzo security@taxdome.com.
Livelli di gravità
Classifichiamo le vulnerabilità in base al loro potenziale impatto sui nostri sistemi. Questo ci aiuta a stabilire la priorità delle correzioni e a determinare le ricompense appropriate. I livelli di gravità sono:
- SEV-1 (gravità bassa): la vulnerabilità non può essere sfruttata al momento, ma presenta potenziali punti deboli che potrebbero essere sfruttati in futuro.
- SEV-2 (gravità media): la vulnerabilità consente a un aggressore di avere un impatto minore o limitato sul funzionamento del sistema. Ciò potrebbe comportare un accesso limitato ai dati o l’aggiramento di restrizioni minori.
- SEV-3 (gravità elevata): la vulnerabilità ha un impatto significativo sul funzionamento dell’intero sistema o consente a un aggressore di aggirare le restrizioni su un insieme limitato di dati.
- SEV-4 (gravità critica): la vulnerabilità ha un impatto significativo sull’intero sistema o consente a un utente malintenzionato di accedere facilmente a una quantità significativa di dati.
- SEV-5 (gravità estrema): la vulnerabilità garantisce a un aggressore un accesso completo e non rilevabile al sistema.
Esempi di vulnerabilità per gravità
Ecco alcuni esempi di vulnerabilità classificate in base al loro livello di gravità:
- SEV-1 (gravità bassa): iniezione di HTML/codice nocivo/iniezione di URL; reindirizzamento aperto
- SEV-2 (gravità media): possibilità di attacco DOS (denial of service); un dipendente senza i diritti necessari può accedere all’agenda e al modello di agenda
- SEV-3 (gravità elevata): un utente malintenzionato può rubare i clienti di un utente e collegare i clienti ai suoi contatti tramite IDOR (Insecure Direct Object References).
- SEV-4 (gravità critica): un utente malintenzionato può ottenere un accesso non autorizzato per cancellare le fatture di tutti gli utenti tramite IDOR
- SEV-5 (gravità estrema): un utente malintenzionato può iniettare codice arbitrario che gli consente di prendere completamente il controllo dell’account di un utente, rubare i suoi dati ed eseguire azioni non rilevate per suo conto.
Proteggere i nostri clienti dal phishing
TaxDome si impegna a proteggere i propri clienti dagli attacchi di phishing. Le email di phishing sono tentativi fraudolenti di indurre i destinatari a rivelare informazioni sensibili, come nomi utente, password o dati finanziari. A volte queste email sembrano provenire da fonti legittime, come il titolare di uno studio che utilizza TaxDome.
A cosa fare attenzione
Le email di phishing possono essere molto convincenti, ma ci sono alcuni segnali d’ allarme da tenere d’occhio:
- L’indirizzo email potrebbe essere simile a quello di un mittente legittimo, ma con lievi variazioni (ad esempio, un carattere in più o un nome di dominio diverso).
- L’email potrebbe rivolgersi genericamente all’utente invece che al suo nome
- L’email potrebbe creare un senso di urgenza o di pressione ad agire rapidamente.
- Le email di phishing contengono spesso errori grammaticali o di battitura.
Se ricevete un’email sospetta che dichiara di provenire dal titolare dello studio o da TaxDome, non cliccate su alcun link o allegato.
Segnalazione di tentativi di phishing
Pur apprezzando la vostra vigilanza, vi ricordiamo che le segnalazioni di tentativi di phishing non sono ammissibili al nostro programma Bug Bounty. Il nostro programma si concentra sull’identificazione di vulnerabilità all’interno della piattaforma TaxDome stessa.
Regole del programma
Si prega di notare che paghiamo solo le tariffe per le segnalazioni originali. Se viene registrato un duplicato, vi informeremo al momento dell’invio della prima segnalazione.
Segnalazioni non ammissibili:
- Tutto ciò che non è sotto il nostro controllo (servizi di terze parti, inclusi, ma non solo, Site.pro, featureOS, Intercom, Beamer, Customer.io).
- Tutto ciò che richiede l’accesso fisico al dispositivo o alla rete
- Tutto ciò che richiede versioni obsolete di software o hardware
- Ingegneria sociale, phishing, ecc.
- Raccomandazioni e best practice, a condizione che non vi sia un exploit specifico.
TaxDome non è tenuta a fornire una spiegazione dettagliata se la segnalazione di sicurezza non è ammissibile.
Come segnalare le vulnerabilità della sicurezza o della privacy?
- Se ritenete di aver scoperto una vulnerabilità della sicurezza o della privacy che riguarda il software, i servizi o i server Web di TaxDome, vi invitiamo a segnalarcela.
- Accogliamo con favore le segnalazioni di tutti, compresi i ricercatori di sicurezza, gli sviluppatori e i clienti.
- Per segnalare una vulnerabilità della sicurezza o della privacy, inviare un’email all’indirizzo help@taxdome.com, includendo nel messaggio video, registri degli arresti anomali e raeport di diagnosi del sistema.
- Riceverete una risposta da TaxDome per confermare che abbiamo ricevuto la vostra segnalazione. Se abbiamo bisogno di ulteriori informazioni, vi contatteremo entro 10 giorni lavorativi.
Ultimo aggiornamento July 25, 2024