Hai riscontrato un problema di sicurezza?

Raccontacelo

Vulnerabilità trovate sui siti web elencati di ESET

Se ritieni di aver trovato una vulnerabilità in un prodotto ESET o in un'applicazione web che non è definita nell'ambito di HackTrophy, ti preghiamo di informarci in modo confidenziale via email all'indirizzo security@eset.com.

Scrivici un messaggio
Prima di inviare la segnalazione, ti preghiamo di leggere attentamente la policy. Ogni report riceve un primo aggiornamento entro tre giorni lavorativi (8 ore al giorno, 5 giorni alla settimana, CET) tramite l'indirizzo email security@eset.com. Una risposta automatica viene inviata quando il report viene creato con successo nel sistema ed è in attesa di feedback da parte di uno specialista della sicurezza. Il nostro obiettivo è risolvere le vulnerabilità confermate entro 90 giorni. I report confermati e risolti vengono ricompensati con un pacchetto regalo.

 

Si prega di notare che non avvieremo alcuna indagine delle forze dell'ordine né alcuna azione legale contro di te per il contenuto della segnalazione.

Informazioni sensibili e personali

Non tentare mai di accedere a informazioni personali o dati sensibili. Se durante la tua ricerca sulla sicurezza ottieni informazioni sensibili o personali, segui questi passaggi:

- INTERROMPI immediatamente la tua ricerca o le azioni che includono dati o informazioni personali

- NON salvare, copiare, divulgare, trasferire o eseguire alcuna attività relativa a dati o informazioni personali

- AVVISACI immediatamente e supportaci negli sforzi di mitigazione

Vulnerabilità escluse dall'ambito

Applicazioni web

  • Report generati da strumenti o scansioni automatiche
  • Attacchi di Denial of Service (DoS)
  • Attacchi "man in the middle"
  • Attacchi che richiedono l'accesso fisico al dispositivo dell'utente
  • Problemi ipotetici senza impatto pratico
  • Pannelli di login pubblicamente accessibili senza prova di sfruttamento
  • Risultati derivati principalmente da ingegneria sociale (es. phishing, vishing, smishing) e altri attacchi non tecnici
  • Problemi di gravità informativa o bassa
  • Spam
  • Clickjacking e problemi sfruttabili solo tramite clickjacking
  • Fingerprinting / divulgazione di banner su servizi comuni/pubblici
  • Problemi di configurazione della posta (SPF, DKIM, impostazioni DMARC)
  • Messaggi di errore descrittivi (es. Stack Traces, errori dell'applicazione o del server)
  • Codici/pagine HTTP 404 o altri codici/pagine HTTP non 200
  • Divulgazione di file o directory pubblici o non sensibili (es. robots.txt, crossdomain.xml o altri file di policy, presenza/misconfigurazione di wildcard in questi)
  • Metodo HTTP non standard abilitato
  • Mancanza di intestazioni di sicurezza (come Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
  • Mancanza di flag Secure/HTTP Only/SameSite su cookie non sensibili
  • Reindirizzamenti aperti che non possono essere utilizzati per esfiltrare informazioni sensibili (cookie di sessione, token OAuth)
  • Problemi di gestione con più sessioni attive contemporaneamente
  • Attacchi di iniezione dell'intestazione dell'host
  • Self-XSS e problemi sfruttabili solo tramite Self-XSS
  • CSRF su moduli disponibili per utenti anonimi (es. modulo di contatto)
  • CSRF sul logout
  • Presenza di funzionalità di "autocomplete" o "salva password" dell'applicazione o del browser web
  • Forza bruta sulla pagina di recupero password e mancato blocco dell'account
  • Enumerazione di nomi utente/email senza ulteriori impatti
  • Problemi di limitazione della velocità
  • Captcha debole / bypass del Captcha
  • Uso di una libreria nota per essere vulnerabile senza una descrizione di un exploit specifico per la nostra implementazione
  • Problemi SSL (es. cifratura debole/insicura, attacco BEAST, BREACH, Renegotiation, ecc.)

Vulnerabilità dei prodotti

  • Problemi risolvibili con l'aggiunta di una regola di rilevamento
  • Iniezione di DLL
  • Hijacking di DLL
  • Mancanza di SSL nei server di aggiornamento/download
  • Bypass del motore AV locale
  • Tapjacking
  • Vulnerabilità note nei componenti di terze parti

Politica di Segnalazione

  • Contattaci via email all'indirizzo security@eset.com
  • Le segnalazioni e tutti i materiali correlati sono crittografati con chiave pubblica PGP
  • Includi il nome della tua organizzazione e il nome del contatto
  • Scrivi una descrizione chiara della potenziale vulnerabilità
  • Aggiungi tutte le informazioni necessarie per convalidare la potenziale vulnerabilità
  • Includi la versione del prodotto ESET e del modulo (consulta il prodotto KB e il modulo KB per determinare il numero di versione) nei rapporti relativi al prodotto
  • Le segnalazioni relative al prodotto dovrebbero contenere un file di log di ESET SysInspector (in inglese), se applicabile
  • Proof of Concept – fornisci una descrizione il più dettagliata possibile, inclusi screenshot o video (se caricati su servizi di streaming, contrassegnali come privati)
  • I suggerimenti per la mitigazione sono molto apprezzati
  • Includi l'impatto della potenziale vulnerabilità che ritieni possa avere sugli utenti, sui dipendenti ESET o su altri
  • Chiediamo al segnalatore di mantenere riservata qualsiasi comunicazione riguardante la vulnerabilità
  • Informa su eventuali piani di divulgazione e coordinati con noi
  • Deve essere scritto in lingua inglese

Si prega di notare che la segnalazione potrebbe essere respinta quando:

  • corrisponde ai criteri della sezione "Fuori Ambito"
  • non segue la nostra Politica di Segnalazione
  • è duplicato, solo il rapporto originale del primo segnalatore viene preso in considerazione

I segnalatori saranno aggiornati su ogni progresso nella risoluzione o mitigazione.

ESET sostiene e pratica la divulgazione responsabile, accreditando pubblicamente chi segnala vulnerabilità di sicurezza, se non desiderano rimanere anonimi.
 

GRAZIE.