Politica di divulgazione delle vulnerabilità

SharpSpring di Constant Contact (SharpSpring) prende molto sul serio la sicurezza delle nostre piattaforme e dei dati dei nostri utenti. Se hai scoperto o ritieni di aver scoperto potenziali vulnerabilità di sicurezza in un servizio SharpSpring, ti invitiamo a rivelarci la tua scoperta il più rapidamente possibile in conformità con questo Programma di divulgazione delle vulnerabilità. Tieni presente che il Vulnerability Disclosure Program è diverso da un bug bounty. Il Vulnerability Disclosure Program consente agli hacker etici di trovare e segnalare vulnerabilità, ma non fornisce un compenso monetario. SharpSpring si riserva il diritto di accettare o rifiutare qualsiasi invio.

Porto sicuro

Se scopri e segnala vulnerabilità di sicurezza in conformità con questo [Programma di divulgazione delle vulnerabilità], consideriamo questa ricerca come:

  • Autorizzato in conformità con il Computer Fraud and Abuse Act (CFAA) (e/o leggi statali simili) e non avvieremo né sosterremo azioni legali contro di te per violazioni accidentali e in buona fede di questa politica di divulgazione volontaria;
  • Esente dal Digital Millennium Copyright Act (DMCA) e non presenteremo un reclamo contro di te per elusione dei controlli tecnologici;
  • Esente da restrizioni nel ns Termini di Servizio ciò interferirebbe con lo svolgimento della ricerca sulla sicurezza e rinunciamo a tali restrizioni su base limitata per il lavoro svolto nell'ambito di questo [Programma di divulgazione delle vulnerabilità]; e
  • Lecito, utile alla sicurezza generale di Internet e condotto in buona fede.

Come sempre, sei tenuto a rispettare tutte le leggi applicabili. Se in qualsiasi momento hai dubbi o non sei sicuro che la tua ricerca sulla sicurezza sia coerente con questo [Programma di divulgazione delle vulnerabilità], ti preghiamo di contattarci prima di procedere oltre.

Qualificazioni

Non puoi partecipare a questo programma se sei un dipendente o un familiare di un dipendente, o un attuale fornitore o dipendente di tale fornitore, di SharpSpring di una delle sue sussidiarie. Ti è inoltre vietato partecipare se ti trovi (i) in un paese o territorio bersaglio delle sanzioni statunitensi (inclusi Cuba, Iran, Siria, Corea del Nord o la regione della Crimea in Ucraina), (ii) designato come Specialmente Persona designata nazionale o bloccata dall'Office of Foreign Assets Control del Dipartimento del Tesoro degli Stati Uniti o altrimenti posseduta, controllata o operante per conto di tale persona o entità, o (iii) altrimenti una parte vietata dalle leggi statunitensi sul controllo del commercio e delle esportazioni.

Politica di divulgazione discrezionale:

Poiché la divulgazione pubblica di una vulnerabilità di sicurezza potrebbe mettere a rischio l'intera comunità di SharpSpring, ti chiediamo di mantenere riservate tali potenziali vulnerabilità finché non saremo in grado di affrontarle. Pertanto, la divulgazione pubblica dei dettagli dell'invio di qualsiasi vulnerabilità identificata o presunta senza il consenso scritto esplicito di SharpSpring riterrà l'invio non conforme alla presente Politica di divulgazione delle vulnerabilità. 

Alla scoperta delle vulnerabilità della sicurezza

Incoraggiamo la ricerca responsabile sulla sicurezza sui servizi e sui prodotti SharpSpring. Ti consentiamo di condurre ricerche e test di vulnerabilità sui servizi e prodotti SharpSpring a cui hai autorizzato l'accesso. In nessun caso la tua ricerca e i tuoi test devono comportare, senza limitazioni:

  • Accedere o tentare di accedere ad account o dati che non appartengono a te o ai tuoi utenti autorizzati,
  • Qualsiasi tentativo di scaricare, modificare o distruggere qualsiasi dato,
  • Esecuzione o tentativo di esecuzione di un attacco Denial of Service,
  • Inviare o tentare di inviare e-mail non richieste o non autorizzate, spam o altre forme di messaggi non richiesti,
  • Testare siti Web, applicazioni o servizi di terze parti che si integrano con qualsiasi servizio SharpSpring,
  • Pubblicazione, trasmissione, caricamento, collegamento, invio o archiviazione di malware, virus o software dannoso simile, o in altro modo tentare di interrompere o degradare i servizi SharpSpring.
  • Qualsiasi attività che violi qualsiasi legge applicabile.

Segnalazione di vulnerabilità di sicurezza nell'ambito

Se ritieni di aver scoperto un problema di vulnerabilità della sicurezza, condividi i dettagli con SharpSpring completando il nostro Modulo di invio. Lavoreremo con te per convalidare e rispondere alle vulnerabilità di sicurezza che ci segnali. La tua segnalazione verrà inoltrata al nostro partner (BugCrowd) per un tempestivo riconoscimento e verifica. Ti vengono assegnati dei “punti” per ogni segnalazione validamente accettata effettuata. Devi essere la prima persona a segnalare il bug per guadagnare tutti i punti possibili.

I problemi verificati verranno trasmessi ai nostri team di sviluppo per la correzione in una sequenza temporale commisurata alla gravità del problema (come definito dalla tassonomia di valutazione della vulnerabilità di BugCrowd). {https://bugcrowd.com/vulnerability-rating-taxonomy}

Si prega di non inviare e-mail di vulnerabilità direttamente ai dipendenti SharpSpring. Le comunicazioni e-mail tra te e SharpSpring, incluse, a titolo esemplificativo, le e-mail che invii a SharpSpring che segnalano una potenziale vulnerabilità di sicurezza, non devono contenere alcuna delle tue informazioni proprietarie. Il contenuto di tutte le comunicazioni e-mail inviate a SharpSpring sarà considerato non proprietario. SharpSpring, o una delle sue affiliate, può utilizzare tale comunicazione o materiale per qualsiasi scopo, inclusi, a titolo esemplificativo ma non esaustivo, riproduzione, divulgazione, trasmissione, pubblicazione, trasmissione e ulteriore pubblicazione.

 

Fuori campo 

Di seguito è riportato un elenco parziale di problemi che ti chiediamo di non segnalare, a meno che tu non ritenga che ci sia una vera vulnerabilità:

  • CSRF su moduli disponibili per utenti anonimi
  • Divulgazione di file o directory pubblici noti (ad es. robots.txt)
  • Suggerimenti per la configurazione di DNSSEC (Domain Name System Security Extensions).
  • Divulgazione banner sui servizi comuni/pubblici
  • Suggerimenti per la configurazione dell'intestazione di sicurezza HTTP/HTTPS/SSL/TLS
  • Mancanza di flag Secure/HTTPOnly sui cookie non sensibili
  • Logout Richieste intersito Falsificazione (logout CSRF)
  • Tecniche di phishing o ingegneria sociale
  • Presenza della funzionalità di "completamento automatico" o "salvataggio password" dell'applicazione o del browser web
  • Configurazione del Sender Policy Framework (SPF) e suggerimenti per l'autenticazione, il reporting e la conformità dei messaggi basati sul dominio (DMARC)

Partecipando a questo Vulnerability Disclosure Program, riconosci di aver letto e accettato SharpSpring's Termini di Servizio e Informativa sulla Privacy, così come Termini di divulgazione standard di BugCrowd. In caso di conflitto tra i Termini di servizio di SharpSpring e i Termini di divulgazione standard di BugCrowd, prevarranno i Termini di servizio di SharpSpring.