Programma di divulgazione delle vulnerabilità

Ultimo aggiornamento: 21 maggio 2020

Introduzione

Le informazioni contenute in questa pagina sono riservate agli esperti di sicurezza, interessati a denunciare responsabilmente le vulnerabilità al team di sicurezza Zscaler.

Per garantire la sicurezza è necessaria una trasformazione e non esiste modo migliore di trasformare un programma di sicurezza, che coinvolgere direttamente i nostri clienti e utenti. Proprio questo coinvolgimento, insieme a una forte convinzione nella collaborazione con la comunità di sicurezza, è essenziale per mantenere un ambiente sicuro per tutti i nostri utenti. Se pensi di aver scoperto una vulnerabilità in termini di sicurezza in un prodotto, servizio o applicazione Zscaler, ti invitiamo a informarci il prima possibile. Chiediamo semplicemente di non divulgare i report sulla vulnerabilità, e ai ricercatori di non renderli pubblici, finché il problema non è stato risolto.

A nostra volta, ci impegneremo a verificare i report e a rispondere rapidamente. Bugcrowd, società di bug bounty e nostra partner, contatta inizialmente gli interessati per valutare il documento presentato. Zscaler non ricorrerà a rimedi giudiziari o giuridici contro chiunque individui problemi di sicurezza, a patto che (1) rispetti le policy qui esposte; (2) rispetti le Condizioni di divulgazione standard di Bugcrowd; (3) non comprometta la sicurezza o la privacy dei nostri utenti; e, (4) una volta risolti i problemi, non distrugga eventuali dati sensibili ottenuti da Zscaler nell'ambito della propria ricerca; infine, (5) acconsenta a rispettare le Condizioni sulla riservatezza di Zscaler riportate di seguito.

Riservatezza

Il coinvolgimento o la partecipazione e/o la denuncia di una vulnerabilità in termini di sicurezza a Zscaler implica il consenso a rispettare le seguenti disposizioni sulla riservatezza.

Con il termine "Informazioni riservate" si intendono (i) tutte le informazioni di Zscaler ottenute durante le prove di sicurezza o tramite partecipazione al Programma di divulgazione delle vulnerabilità di Zscaler, (ii) tutte le informazioni ottenute riguardo alle direttive sul bounty di Bugcrowd e (ii) tutti i documenti presentati dall'interessato. Il coinvolgimento nei test o la partecipazione al Programma di divulgazione delle vulnerabilità di Zscaler non garantisce alcun diritto sulle informazioni riservate di Zscaler né alcun tipo di proprietà intellettuale.

Le Informazioni riservate non includono quelle che (i) sono o diventano di pubblico dominio senza che l'interessato ne abbia colpa e senza violazione di tali direttive, (ii) sono indipendenti da qualsiasi utilizzo o riferimento alle Informazioni riservate, o (iii) vengono rese note, o lo sono già, da una fonte non vincolata a restrizioni in termini di riservatezza.

Prima di partecipare a eventuali test o di presentare quanto scoperto, è necessario (i) mantenere le Informazioni riservate con la massima discrezione, (ii) proteggere tali Informazioni riservate da eventuali utilizzi o divulgazioni non autorizzati, (iii) non divulgare tali Informazioni riservate a terzi, incluso il pubblico, (iv) non utilizzare tali Informazioni riservate per qualsiasi altro motivo al di fuori della partecipazione al Programma di divulgazione delle vulnerabilità di Zscaler e (v) informare immediatamente Zscaler in caso di perdita o divulgazione non autorizzata delle Informazioni riservate. Ciononostante, è possibile divulgare le Informazioni riservate di Zscaler alla società stessa o a Bugcrowd, tramite il suo portale dei partner.

Grazie per il tuo aiuto!

Ambito e regolamento del programma vulnerabilità

Include

Siamo interessati soprattutto alle seguenti categorie di vulnerabilità:

  • Rivelazione di dati sensibili: Cross Site Scripting (XSS) Stored, SQL Injection (SQLi), ecc.

  • Problemi legati ad autenticazione o gestione delle sessioni.

  • Esecuzione di codice da remoto.

  • Vulnerabilità particolarmente ingegnose o problemi unici che non rientrano in categorie specifiche: dimostraci cosa sai fare!

Non include

Le vulnerabilità appartenenti alle seguenti categorie sono escluse dal nostro programma di divulgazione responsabile e devono essere evitate dai ricercatori.

  • DoS (Denial of Service), sia tramite traffico di rete, esaurimento delle risorse o altro

  • Enumerazione utenti

  • Problemi presenti solamente in vecchi browser/plugin/browser software a fine vita

  • Phishing o attacchi basati su ingegneria sociale diretti a lavoratori, utenti o clienti di Zscaler

  • Sistemi o problemi relativi a tecnologie di terzi utilizzate da Zscaler

  • Divulgazione di file pubblici noti e di altre informazioni che non costituiscono rischio materiale (es.: robots.txt)

  • Qualsiasi attacco o vulnerabilità che dipende dalla compromissione del computer di un utente

Si prega di notare che le ricerche sulla sicurezza devono essere condotte in modo responsabile. Ad esempio, in caso di rivelazione di password o codice esposti pubblicamente, ne è proibito l'utilizzo per testare la portata dell'accesso che garantisce, oppure il download o l'esfiltrazione di dati per provare la validità del codice. Allo stesso modo, in caso di attacco SQL injection avvenuto con successo, è proibito lo sfruttamento di tale vulnerabilità oltre i passaggi iniziali necessari a dimostrare una proof-of-concept.

Un'esfiltrazione o download eccessivi di dati appartenenti a Zscaler, o la richiesta di pagamento in cambio della distruzione di tali dati, verranno esclusi dall'ambito del presente programma e Zscaler si riserva tutti i diritti, rimedi e azioni per proteggere la propria azienda e i suoi utenti.

Ricompense per la vulnerabilità

Se la tua denuncia di vulnerabilità riguarda un prodotto o servizio incluso nel programma, potrai ricevere una ricompensa per il bounty. Se sei un ricercatore Bugcrowd, potrai richiedere qui sotto il documento presentato per ottenere punti. Se desideri aiutarci ancora di più, in qualità di esperto di sicurezza nell'ambito del nostro Programma privato, contattaci all'indirizzo [email protected] indicando la tua richiesta e la motivazione.

I documenti presentati sono considerati idonei a ricevere una ricompensa per il bounty ad esclusiva discrezione di Zscaler.

Denunciare una vulnerabilità in termini di sicurezza

Utilizza il modulo sottostante per denunciare a Zscaler eventuali vulnerabilità in termini di sicurezza, attraverso il portale dei partner di Bugcrowd. Zscaler utilizza generalmente i punteggi CVSS per classificare le vulnerabilità.