ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.
  • cerca in
    #Tutto #News #Comunicati
Sicurezza

Responsible Disclosure

La sicurezza al primo posto

Fastweb considera la protezione dei dati e la tutela dei propri clienti una priorità e per questo invita tutti coloro che abbiano scoperto una vulnerabilità in uno dei propri sistemi, servizi o prodotti, ad inviare una segnalazione.

Mission
Il nostro impegno

Fastweb considera la protezione dei dati e la tutela dei propri clienti una priorità e per questo adotta, per i propri sistemi, servizi e prodotti, un processo di sviluppo sicuro in ogni sua fase, dalla progettazione fino al rilascio.

Nonostante ciò, a volte, alcune vulnerabilità non vengono rilevate e/o si manifestano una volta rilasciato al pubblico il prodotto, l’applicazione o il servizio. È quindi per questo motivo che Fastweb, nell’ottica di migliorare ulteriormente i propri livelli di sicurezza e di affidabilità, ha pubblicato la presente procedura di Responsible Disclosure con l’obiettivo di coinvolgere i ricercatori e più in generale gli appassionati di cyber security affinché aiutino l’azienda a rendere i propri sistemi ancora più sicuri e affidabili, e a garantire la sicurezza e la privacy dei propri clienti, gestendo in modo responsabile le vulnerabilità di sicurezza.

Fastweb invita quindi tutti coloro che abbiano scoperto una vulnerabilità in uno dei propri sistemi, servizi o prodotti, quali

  • Portali di Fastweb, ad esempio dominio .fastweb.it (ad eccezione di www.gestione-documenti.fastweb.it e www.i-miei-documenti.fastweb.it);
  • Dispositivi a marchio Fastweb (ad esempio modem-router ADSL con l'esclusione dei cellulari);
  • Applicazioni mobili a marchio Fastweb e pubblicate sugli store ufficiali (ad es. MyFastweb, WOW space, FASTcloud Drive, Fastmail, etc.);

ad inviare una segnalazione seguendo la policy di divulgazione responsabile sotto riportata:

Inviare la segnalazione all’indirizzo email security.alert@fastweb.it con le seguenti informazioni:

Il tipo di vulnerabilità rilevata (es. categoria OWASP Top 10) ed il potenziale impatto; Il portale, l’applicazione, il servizio o il dispositivo impattato dalla vulnerabilità; La descrizione dettagliata della problematica (al fine di poterla replicare); Un archivio/zip di tutto il materiale che possa aiutare a replicare la problematica. Le dimensioni massime dell’archivio non possono superare i 10MB; I dati identificativi (nome, cognome, eventuale organizzazione per cui si lavora, eventuali link a siti o social) per la pubblicazione nella Hall of Fame (qualora venga fornita espressa autorizzazione); L'indirizzo IP da cui è stata scoperta la vulnerabilità e la data/ora di rilevamento; Il consenso o meno a comunicare i propri dati all’eventuale produttore della tecnologia coinvolta dalla segnalazione, per una possibile interazione diretta; La disponibilità ad essere inseriti nella sezione Hall of Fame della Responsible Disclosure di Fastweb;

La mail può essere cifrata usando la seguente chiave PGP:
PGP key: 0xD794D11B - Fingerprint: 2657C6774227AB32A78B74F330D5E865D794D11B

Mantenere strettamente riservate e segrete le vulnerabilità scoperte, impegnandosi a non rivelarle o renderle disponibili a terzi per un periodo di tempo che verrà concordato con Fastweb anche per consentire all’azienda di individuare ed applicare le opportune contromisure.
Collaborare con il team Security di Fastweb e i gruppi di lavoro coinvolti.
Compiere ogni sforzo per evitare violazioni della privacy, degrado o interruzione dei servizi e distruzione dei dati. In tal senso è fatto espresso divieto di:
Accedere ai dati, modificarli o scaricarli da un account per il quale non si hanno diritti; Mettere in atto azioni assimilabili ad attacchi di tipo “Denial of Service” o in grado di danneggiare il funzionamento di qualsiasi bene o risorsa Fastweb; Caricare, linkare, eseguire o inviare codice malevolo sfruttando i sistemi di Fastweb; Effettuare test il cui effetto sia l’invio di messaggi indesiderati, spam o altre forme di messaggi non autorizzati;

Una volta ricevuta la segnalazione, Fastweb si impegna a:

Non intraprendere azioni legali contro chi scopre e segnala falle di sicurezza nel rispetto della presente policy di divulgazione responsabile. Qualsiasi richiesta di compenso (in denaro o di altra natura) relativa a vulnerabilità identificate o presunte sarà considerata non conforme alla presente policy di divulgazione responsabile.

Inviare una mail di riscontro entro 20 giorni con cui si comunica che la segnalazione è stata ricevuta e si informa sulla pertinenza della segnalazione rispetto al processo Responsible Disclosure e sull’esito dell’analisi preliminare effettuata da Fastweb.

Fornire indicazioni sulla tempistica di risoluzione della vulnerabilità e concordare di conseguenza la data entro cui verrà pubblicato il nome nella sezione “Hall of Fame”. Fastweb si riserva di estendere il periodo di riservatezza e dunque la data di pubblicazione, dandone opportuna informativa a chi ha inviato la segnalazione nel caso fosse necessario ulteriore tempo per correggere la vulnerabilità.

Gestire la segnalazione in maniera adeguata per rispettare i tempi indicati e, in caso di segnalazione relativa a vulnerabilità idonea e non ancora in corso di risoluzione, a ringraziare pubblicamente l'autore nella sezione “Hall of Fame” se questo ha fornito la sua autorizzazione.

Sono escluse dalla presente procedura di Responsible Disclosure le segnalazioni relative alle seguenti casistiche:

Esiti di tool automatici di vulnerability assessment/penetration testing/Information Gathering (es SQLmap, Owasp ZAP, nmap, etc.); Esiti di test fisici sulle reti (es. open door, tailgating); Esiti di attacchi di Denial of Service (DoS, DDoS), per i quali Fastweb si riserva di intraprendere dovuti provvedimenti; Tutte le segnalazioni non inerenti al processo di Responsible Disclosure. Tali segnalazioni non saranno prese in considerazione e non saranno forniti riscontri in merito. Per problematiche di phishing e/o spam si suggerisce di contattare la casella abuse@fastweb.it, mentre per problematiche relative alla privacy si suggerisce di contattare la casella privacy@fastweb.it; Rilevazioni su domìni non direttamente gestiti da Fastweb o comunque non facenti parte del perimetro sopra esplicitato a cui il programma si applica; Risultati di assessment condotti tramite siti specializzati (es. ssllabs.com, securityheaders.io, urlscan.io); Bug relativi la User Interface o la User Experience che non costituiscono una falla di sicurezza (es. errori di battitura, nel formato della pagina) per i quali si rimanda ai canali istituzionali di Customer Care (Call Center 192193, Messaggio privato Facebook); Altre segnalazioni relative a vulnerabilità a basso impatto, come clickjacking, captcha deboli, mancanza di flag sui cookie (es. secure, HTTPOnly), mancanza di header di sicurezza HTTP.

Fastweb non prevede inoltre di mettere a disposizione degli utenti che partecipano al programma risorse quali account o ambienti di test dedicati.

Fastweb si riserva la possibilità di aggiornare in qualunque momento la procedura di Responsible Disclosure sopra descritta.

Hall of Fame

Fastweb ringrazia tutti coloro che hanno contribuito, in modo responsabile, a migliorare la sicurezza dei propri sistemi, servizi e prodotti dimostrando di possedere ottime capacità tecniche nell’ambito della sicurezza informatica!

2018
Raffaele Sabato
Ezio Paglia
Angelo Anatrella
Lorenzo Stella
2019
Francesco Iubatti
Andrei Manole
Federico Zambito
Simone Quatrini
Antonio Cannito
Michele Toccagni
Alessandro Sacco
Emanuele Gentili
Francesco Giordano
Alessandro Groppo
Alexander Bekk
Serge Lacroute
Ennio Campagna
Marco Nappi
Alessandro Moccia
Aaditya Kumar Sharma
Vincenzo Vetturelli
Riccardo Gasparini
Paolo Stagno
Hatim Chabik
Roman Paci
Aditya Shende
Abdul Ghaffar Afzal
Angelo Anatrella
Giantonio Chiarelli