Vai al contenuto principale

Politica globale di divulgazione responsabile delle vulnerabilità di sicurezza

ULTIMO AGGIORNAMENTO: OTTOBRE 2022

 

1. Dichiarazione politica

1.1 Il Gruppo DAZN ("DAZN") si impegna a tutelare la riservatezza e l'integrità della propria piattaforma digitale. Riconosciamo che la comunità di ricerca sulla sicurezza svolge un ruolo fondamentale nell'aiutarci a migliorare i nostri prodotti e servizi e a garantire la sicurezza dei nostri clienti e dipendenti. Vogliamo che i ricercatori sulla sicurezza si sentano a proprio agio nel segnalare bug e vulnerabilità che hanno scoperto in modo da poter risolverli e proteggere i nostri clienti, la nostra azienda e il nostro marchio. Abbiamo sviluppato questa politica per riflettere i nostri valori e sostenere il nostro senso di responsabilità nei confronti dei ricercatori di sicurezza che condividono con noi le loro competenze in buona fede e, sebbene apprezziamo coloro che si prendono il tempo e l'impegno di segnalare bug e vulnerabilità di sicurezza secondo questa politica, non offriamo ricompense in denaro per la divulgazione di bug e vulnerabilità. Tuttavia, ci impegneremo a dimostrare il nostro apprezzamento ai ricercatori di sicurezza che si prendono il tempo e l'impegno di indagare e segnalarci le vulnerabilità di sicurezza in base a questa politica, ogni volta che sarà possibile.

1.2 Questa politica di divulgazione responsabile delle vulnerabilità spiega come collaboriamo con la comunità di ricerca sulla sicurezza per migliorare la nostra sicurezza e si applica a qualsiasi bug e vulnerabilità che stai pensando di segnalarci. Ti consigliamo di leggere attentamente questa politica prima di segnalare un bug e/o una vulnerabilità e di agire sempre nel rispetto della stessa.

 

1.3 Se durante le tue ricerche di sicurezza rispetti questa politica, considereremo la tua ricerca come autorizzata e lavoreremo con te per comprendere e risolvere rapidamente il problema.

 

1.4 Appoggiamo e sosteniamo attivamente la collaborazione con la comunità della ricerca e della sicurezza per migliorare la nostra sicurezza online.

 

1.5 Ci impegniamo a:

  • indagare e risolvere problemi di sicurezza nei nostri prodotti e servizi;
  • lavorare in collaborazione con la comunità della sicurezza;
  • rispondere tempestivamente e attivamente.

1.6 Possiamo modificare questa politica in qualsiasi momento.

 

2. Scopo

2.1 Questa politica si applica solo alle vulnerabilità dei nostri prodotti e servizi alle seguenti condizioni:

  • Le vulnerabilità "in ambito di applicazione" devono essere originali, non segnalate in precedenza e non già scoperte da procedure interne.
  • Le vulnerabilità volumetriche non rientrano nell'ambito di applicazione; ciò significa che il semplice sovraccarico di un servizio con un elevato volume di richieste non rientra nell'ambito di applicazione.
  • Le segnalazioni di vulnerabilità non sfruttabili o le segnalazioni che indicano che i nostri servizi non sono completamente in linea con le "migliori pratiche" (ad esempio intestazioni di sicurezza mancanti) non rientrano nell'ambito.
  • Le debolezze della configurazione TLS, ad esempio il supporto di suite di cifratura "deboli" o la presenza del supporto TLS 1.0, non rientrano nell'ambito di applicazione.

2.2 Vulnerabilità che rientrano nell'ambito di applicazione

Di seguito sono riportati alcuni esempi di vulnerabilità che possono rientrare nell'ambito di questa politica

  • Esposizione di dati sensibili (esempi: PII)
  • Esecuzione del codice remoto
  • SQL Injection
  • Bypass dell'autenticazione con conseguente accesso a un account utente o a contenuti in streaming
  • Token di accesso esposti
  • Cross Site Scripting
  • Bucket S3 esposti
  • Falsificazione di richieste intersito che comporta l'accesso all'account di un altro utente

2.3  Vulnerabilità fuori dall'ambito di applicazione

Di seguito sono riportati alcuni esempi di vulnerabilità che non rientrano nell'ambito di applicazione di questa politica:

  • Attacchi di negazione del servizio e limitazione della velocità
  • Phishing o ingegneria sociale
  • Intestazioni mancanti (HSTS, CSP, ecc.)
  • Algoritmi o protocolli SSL/TLS/SSH deboli
  • Clickjacking
  • Banner o divulgazione di informazioni sulla versione
  • Divulgazione del percorso completo
  • Intestazioni di mitigazione XSS
  • Rapporti sugli arresti anomali (dispositivi mobili)
  • Impostazioni dei cookie non sicure
  • Riutilizzo di password da dump pubblici

3. Segnalazione

3.1 Se ritieni di aver trovato una vulnerabilità di sicurezza, inviaci la tua segnalazione utilizzando il seguente indirizzo e-mail: security@DAZN.com.

3.2 Nella tua segnalazione, ti preghiamo di fornirci quanti più dettagli possibili sulla vulnerabilità di sicurezza. Ciò include (ma si limita a) i dettagli circa:

  • Il sito web, l'IP o la pagina URL in cui si trova e/o si può osservare la vulnerabilità o il bug.
  • Una breve descrizione del tipo di vulnerabilità, ad esempio: "Vulnerabilità XSS".
  • Una descrizione del rischio potenziale e dell'impatto della vulnerabilità.
  • Screenshot o acquisizioni di schermate per mostrare la prova del punto in cui la vulnerabilità/il bug può essere osservato.
  • Passaggi necessari per riprodurre il problema. Queste dovrebbero essere una prova di concetto benigna e non distruttiva.

Ciò aiuta a garantire che il report possa essere valutato in modo rapido e accurato. Inoltre, riduce la probabilità di segnalazioni duplicate o di sfruttamento malevolo di alcune vulnerabilità, come l'acquisizione di sottodomini.

 

4. Cosa aspettarsi

4.1 Dopo aver inviato la segnalazione, il team si occuperà del triage della vulnerabilità segnalata e risponderà il prima possibile per farti sapere se sono necessarie ulteriori informazioni, se la vulnerabilità rientra o meno nell'ambito di applicazione o se si tratta di una segnalazione duplicata. Se è necessario un intervento di ripristino, questo verrà assegnato al team appropriato.

4.2 La priorità dell'intervento di ripristino viene valutata in base all'impatto, alla gravità e alla complessità della minaccia. Potrebbe volerci del tempo prima che un team affronti la tua segnalazione. Puoi chiedere informazioni sullo stato, ma dovresti evitare di farlo più di una volta ogni 14 giorni. Ciò consente ai nostri team di concentrarsi il più possibile sulle segnalazioni e sulle soluzioni correttive.

4.3 Ti informeremo quando la vulnerabilità segnalata verrà risolta e potresti essere chiamato a confermare che la soluzione adottata risolve la vulnerabilità in modo adeguato.

4.4 Una volta risolta la vulnerabilità, saremo lieti di richiedere la pubblicazione e il riconoscimento della tua segnalazione. Vorremmo unificare la nostra guida, quindi ti invitiamo a continuare a coordinare con noi qualsiasi proposta di rilascio pubblico.

5. Guida

5.1 NON devi:

  • Infrangere qualsiasi legge o regolamento applicabile.
  • Accedere alle informazioni personali dei clienti o dei dipendenti o alle informazioni riservate di DAZN. Se accedi accidentalmente a uno di questi, interrompi il test e segnala la vulnerabilità.
  • Accedere a quantità di dati non necessarie, eccessive o significative.
  • Modificare o distruggere dati presenti nei sistemi o nei servizi DAZN.
  • Utilizzare strumenti di scansione invasivi o distruttivi ad alta intensità per individuare le vulnerabilità.
  • Tentare o segnalare qualsiasi forma di negazione del servizio, ad esempio sovraccaricare un servizio con un elevato volume di richieste.
  • Interrompere o deteriorare i nostri servizi, sistemi o l'esperienza utente di DAZN.
  • Comunicare eventuali vulnerabilità o dettagli associati diversi dai mezzi descritti nella presente politica.
  • Effettuare social engineering, phishing o attaccare fisicamente il nostro personale o la nostra infrastruttura.
  • Chiedere un compenso economico per rivelare eventuali vulnerabilità.
  • Includere qualsiasi dato interno di DAZN nel tuo report.

5.2 Devi :

  • Interrompere i test e segnalare immediatamente il problema se si ottiene l'accesso a un'applicazione non pubblica, a credenziali non pubbliche o a servizi e sistemi non pubblici.
  • Rispettare sempre la legislazione vigente in materia di protezione dei dati e non violare la privacy dei nostri utenti, del personale, degli appaltatori, dei servizi o dei sistemi. Ad esempio, non devi condividere, ridistribuire o non proteggere adeguatamente i dati recuperati dai sistemi o dai servizi di DAZN.
  • Eliminare in modo sicuro tutti i dati recuperati durante la ricerca non appena non sono più necessari o entro un (1) mese dalla risoluzione della vulnerabilità, a seconda di quale situazione si verifichi per prima (o come altrimenti richiesto dalla legge applicabile sulla protezione dei dati).

6. Legalità

6.1 Inviando una segnalazione a DAZN, accetti di mantenere strettamente confidenziale l'oggetto della segnalazione, così come tutte le successive conversazioni correlate con DAZN. Ciò consente a DAZN di indagare e di prendere i provvedimenti necessari.

6.2 Questa politica è stata concepita per essere compatibile con le comuni buone pratiche di divulgazione delle vulnerabilità. Non ti autorizza ad agire in alcun modo che sia in contrasto con la legge applicabile o che possa causare a DAZN una violazione di qualsiasi obbligo legale applicabile, inclusi, a titolo esemplificativo ma non esaustivo:

  • Il Regolamento generale sulla protezione dei dati 2016/679 (GDPR) (anche come recepito nel diritto del Regno Unito dall'European Union (Withdrawal) Act 2018 (UK GDPR)) e l'UK Data Protection Act 2018.

6.3 Si ricorda che la presente politica non prevede alcuna forma di indennizzo per le azioni che violano la legge applicabile o la presente politica. Non prevede alcuna indennità da parte di DAZN o di terzi.

6.4 Nella misura in cui ciò sia compatibile con gli obblighi legali di DAZN, non intraprenderemo azioni civili o perseguiremo i ricercatori di sicurezza che segnalano bug e vulnerabilità di sicurezza sul nostro prodotto, servizio o sistema, qualora il ricercatore abbia agito in buona fede e in ogni momento in conformità con questa politica.

 

7. Feedback

7.1 In caso di domande sulla divulgazione responsabile o se desideri fornire un feedback su questa politica, ti invitiamo a contattarci tramite l'e-mail di presentazione di cui alla sezione 3.1. La politica si evolverà nel tempo, con le migliori pratiche e le lezioni apprese; pertanto, il tuo contributo è incoraggiato e sarà apprezzato per garantire che questa politica rimanga chiara, completa e rilevante per chiunque la utilizzi.

Questo articolo ti è stato utile?

Utenti che ritengono sia utile: 3 su 4
Torna in alto

Articoli correlati