Divulga una vulnerabilità

Le informazioni contenute in questa pagina sono riservate agli esperti di sicurezza, interessati a denunciare responsabilmente le vulnerabilità al team di sicurezza Zscaler.

Programma di divulgazione delle vulnerabilità

Ultimo aggiornamento: 21 settembre 2022

Introduzione

La sicurezza richiede una trasformazione, e il modo migliore di trasformare un programma di sicurezza è quello di impegnarsi direttamente con i nostri utenti. Questo impegno, insieme alla forte convinzione dell'importanza di collaborare con la community della sicurezza, è fondamentale per assicurare un ambiente sicuro a tutti i nostri utenti.

Se pensi di aver individuato una vulnerabilità nella sicurezza di un prodotto, servizio o applicazione Zscaler, ti invitiamo a comunicarcelo il prima possibile e a mantenere la questione privata finché non avremo risolto il problema.

A nostra volta, ci impegneremo a verificare i report e a rispondere tempestivamente. Per prima cosa Bugcrowd, la nostra società partner di bug bounty, ti contatterà per valutare la vulnerabilità segnalata. Zscaler non ricorrerà a rimedi giudiziari o giuridici contro chiunque individui problemi di sicurezza, a patto che (1) rispetti i regolamenti qui esposti; (2) rispetti le Condizioni di divulgazione standard di Bugcrowd; (3) non comprometta la sicurezza o la privacy dei nostri utenti; e, (4) una volta risolti i problemi, distrugga eventuali dati sensibili ottenuti da Zscaler nell'ambito della propria ricerca; infine, (5) acconsenta a rispettare le Condizioni sulla riservatezza di Zscaler riportate di seguito.

Riservatezza

Il coinvolgimento o la partecipazione a questo programma e/o l'invio di una segnalazione relativa a una vulnerabilità di sicurezza a Zscaler comportano l'accettazione delle seguenti disposizioni di riservatezza.

Con il termine "Informazioni riservate" si intendono (i) tutte le informazioni di Zscaler ottenute durante le prove di sicurezza o tramite partecipazione al Programma di divulgazione delle vulnerabilità di Zscaler, (ii) tutte le informazioni ottenute riguardo alle direttive sul bounty di Bugcrowd e (ii) tutti i documenti presentati dall'interessato. Il coinvolgimento nei test o la partecipazione al Programma di divulgazione delle vulnerabilità di Zscaler non garantisce alcun diritto sulle informazioni riservate di Zscaler né alcun tipo di proprietà intellettuale.

Le Informazioni riservate non includono quelle che (i) sono o diventano di pubblico dominio senza che l'interessato ne abbia colpa e senza violazione di tali direttive, (ii) sono indipendenti da qualsiasi utilizzo o riferimento alle Informazioni riservate, o (iii) vengono rese note, o lo sono già, da una fonte non vincolata a restrizioni in termini di riservatezza.

Prima di iniziare eventuali test o presentare quanto riscontrato, è necessario (I) trattare le Informazioni riservate con la massima discrezione, (II) proteggere tali Informazioni riservate dall'eventuale utilizzo o divulgazione non autorizzati, (III) non divulgare le stesse a terzi, incluso il pubblico, (IV) non utilizzare le Informazioni riservate per qualsiasi altro motivo al di fuori della partecipazione al Programma di divulgazione delle vulnerabilità di Zscaler e (V) informare immediatamente Zscaler in caso di perdita o divulgazione non autorizzata di tali Informazioni riservate. Fermo restando quanto sopra, è possibile comunicare le Informazioni riservate di Zscaler alla società stessa o a Bugcrowd tramite il suo portale dei partner.

Grazie per il tuo aiuto!

Ambito e regolamento del programma di divulgazione delle vulnerabilità

Include

Siamo interessati principalmente alle seguenti categorie di vulnerabilità:

  • Esposizione di dati sensibili: cross-site scripting (XSS) memorizzato, SQL injection (SQLi), ecc.
  • Problemi legati ad autenticazione o gestione delle sessioni
  • Esecuzione di codice da remoto
  • Vulnerabilità particolarmente ingegnose o problemi unici che non rientrano in categorie specifiche: dimostraci la tua abilità!

Non include

Evita le seguenti categorie di vulnerabilità, che non rientrano nell'ambito del nostro programma di divulgazione responsabile:

  • DoS (Denial of Service): attraverso il traffico di rete, l'esaurimento delle risorse o altri metodi
  • Enumerazione utenti
  • Problemi presenti solo nei vecchi browser/plugin o nei browser con software a fine vita
  • Phishing o attacchi basati sull'ingegneria sociale diretti a lavoratori, utenti o clienti di Zscaler
  • Sistemi o problemi relativi a tecnologie di terzi utilizzate da Zscaler
  • Divulgazione di file pubblici noti e di altre informazioni che non costituiscono materiale pericoloso (es.: robots.txt)
  • Qualsiasi attacco o vulnerabilità che dipende dalla compromissione del computer di un utente

Ci aspettiamo che i partecipanti lavorino in modo responsabile in questa ricerca sulla sicurezza. Ad esempio, se individui una password o una chiave esposta pubblicamente, non dovresti usarla per verificare l'ampiezza dell'accesso che garantisce o per scaricare o esfiltrare dati per dimostrare che è attiva. Allo stesso modo, se rilevi un attacco di SQL injection andato a buon fine, è proibito lo sfruttamento di tale vulnerabilità oltre i passaggi iniziali necessari per la dimostrazione della proof of concept.

Un'esfiltrazione o download eccessivi di dati appartenenti a Zscaler, o la richiesta di pagamento in cambio della distruzione di tali dati, verranno esclusi dall'ambito del presente programma, e Zscaler si riserva il diritto di ricorrere a tutte le misure e le azioni per proteggere la propria azienda e i suoi utenti.

Ricompense per la vulnerabilità

Se la segnalazione della vulnerabilità presentata riguarda un prodotto o servizio incluso nel programma, si potrà essere ritenuti idonei a ricevere una ricompensa. Se la segnalazione viene effettuata da un ricercatore di Bugcrowd, quest'ultimo potrà richiedere qui sotto i punti kudos. Per collaborare con noi come ricercatore di sicurezza nel nostro Programma privato, contatta [email protected] indicando la richiesta e la motivazione.

Zscaler si riserva il diritto di determinare l'idoneità delle segnalazioni alla ricezione di una ricompensa.

Denunciare una vulnerabilità in termini di sicurezza

Utilizza il nostro modulo per segnalare le vulnerabilità di sicurezza a Zscaler attraverso il nostro portale partner Bugcrowd. Zscaler utilizza generalmente il CVSS per classificare le vulnerabilità.