Come far presente le vulnerabilità in modo responsabile

Se sei un utente Etsy e desideri segnalare attività di natura fraudolenta, controversie relative agli ccount, oppure casi di spam, ti chiediamo gentilmente di contattare l'assistenza di Etsy, facendo clic sul link che trovi in fondo a questa pagina.

Per segnalare email spoofing o email di phishing, ti preghiamo di contattare spoof@etsy.com.

Per i ricercatori che si occupano di sicurezza a livello professionale

Quali sono i "bug" considerati validi?

Le vulnerabilità delle applicazioni come XXS, CSRF, SQLi, problemi di autenticazione, esecuzione di codici in ambienti esterni e problemi di autorizzazione sono considerati "bug" validi. La vulnerabilità deve essere presente nel sito principale www.etsy.com, nell'API etsy.com, www.etsystudio.com, oppure nelle applicazioni mobili ufficiali di Etsy.

Nota che i sistemi che non controlliamo (come i link di reindirizzamento a siti di terze parti o CDN) sono esclusi dal campo di applicazione del programma "Bounty". Si deve essere la prima persona a rivelare a noi in modo responsabile il "bug", è necessario che si sia trovata la vulnerabilità per proprio conto, e si devono seguire i principi sulla divulgazione responsabile, al fine di fornirci un tempo ragionevole per risolvere il problema prima di effettuare qualsiasi rivelazione pubblica.

Quali sono i "bug" considerati non validi?

Sebbene controlliamo tutti i casi che ci vengono presentati, uno per uno, i seguenti sono alcuni dei problemi che in genere non soddisfano i requisiti del nostro programma "Bounty":

  • "Best practise" o buona prassi. Non vengono accettate quelle segnalazioni in cui ci vengono semplicemente forniti dei suggerimenti in materia di configurazioni o regolamenti.

  • Elaborazione da strumenti automatici senza prova di concetto. Un'elaborazione o risultato che sia stato copiato da siti web come ssllas.org oppure da scanner di vulnerabilità senza prova di concetto, di solito contiene molti falsi positivi.

  • Rapporti di sicurezza che non riguardino etsy.com Se invii un resoconto proveniente da un dominio che non è incluso nel campo del nostro programma "Bug Bounty", il resoconto verrà ignorato.

  • Difetti specifici relativi a browser o plugin non aggiornati. Maggiori informazioni sui browser aggiornati qui.

  • "Cross-site request forgery" di uscita. Per ulteriori informazioni su questo argomento, consigliamo di fare riferimento agli articoli dei blog di Chris Evans e Michal Zalewski.

  • Mancanza di "Secure flag" sui coockie non riservati. Forniamo al sito la crittografia SSL completa come meccanismo di difesa contro MITM ("man in the middle" o uomo nel mezzo) attraverso HSTS (sicurezza rigida per il trasporto di HTTP) per i cookie delle sessioni con informazioni riservate. Maggiori informazioni su questo argomento sono disponibili qui: http://codeascraft.com/2012/10/09/scaling-user-security/.

  • Mancanza di "flag HTTPOnly" sui cookie non riservati. Abbiamo impostato il "flag HTTPOnly" sui cookie che riteniamo riservati e non consideriamo la mancanza di HTTPOnly su altri cookie come una vulnerailità.

  • Enumerazione nome utente attraverso il reset dell'accesso e della password. Anche se l'enumerazione del nome utente potrebbe essere una vulnerabilità in alcune applicazioni web, Etsy è un mercato pubblico e tali nomi utente possono essere enumerati in base al design attraverso una serie di modi tra cui le inserzioni, i messaggi sui forum, i negozi, ecc.

  • Problema del tipo CSRF presentato con prova di fattibilità contenente un'occasione. Ti chiediamo di controllare attentamente il caso che intendi presentare, per assicurarti che non ci stai inviando una prova di fattibilità contenente un'occasione.

Cose di cui essere a conoscenza mentre si procede con i test

  • Si prega di non portare avanti test relativi a spam, ingegneria sociale, o problemi riguardanti "denial of service" (negazione del servizio).

  • Vista la natura del nostro mercato, si prega di non utilizzare scanner automatici senza un margine d'azione circoscritto. L'esecuzione di scanner automatici attraverso l'intero sito può causare spam nei Forum, nei Team e nei commenti del blog. Gli scanner automatici possono anche inviare conversazioni di spam ed effettuare acquisti di articoli da legittimi negozi Etsy. Inoltre, è bene tener presente che abbiamo in atto dei meccanismi di blocco automatici per rilevare gli scanner, che impediscono per un intero giorno l'accesso al sito o l'invio di bounty tramite l'utilizzo del modulo di presentazione del bounty. L'esecuzione di queste azioni interferisce con l'utilizzo del nostro mercato da parte dei nostri utenti ed è contro lo spirito del nostro programma "Bounty".

  • Se desideri portare avanti dei test sulle conversazioni, ti preghiamo di utilizzare solo gli account dedicati ai test e di non inviare messaggi agli utenti legittimi del sito. Nel caso si testasse il processo di compilazione di un'inserzione, tutte le inserzioni di prova devono essere immediatamente rimosse una volta che il test è terminato.

  • Se sei interessato a portare avanti dei test sulle inserzioni o su altre funzionalità relative ai negozi, ti consigliamo di mettere il tuo negozio in modalità "sviluppatore": https://www.etsy.com/developers/shop

  • Ci riserviamo il diritto di disattivare e/o mettere al bando gli account di prova se vieni scoperto a violare queste linee guida.

  • Ti preghiamo di non creare un eccessivo numero di account di prova, e ti chiediamo anche di limitare le transazioni di prova a piccoli importi monetari (meno di $1).

Valutazioni delle segnalazioni di bounty

Il team addetto alla sicurezza di Etsy valuta tutti i resoconti del programma "Bounty" appena li riceviamo. Spesso riceviamo duplici segnalazioni per questioni che sono in attesa di correzione, quindi come prima cosa controlliamo se il problema in questione sia già stato segnalato.

Se non si tratta di un resoconto già esistente, i problemi che non vengono immediatamente squalificati per il programma "Bounty" in base ai criteri di cui sopra (come il campo di applicazione, i problemi considerati non idonei, e così via) vengono testati per vedere se il problema può essere ricreato. Se possiamo ricreare il problema, ti contatteremo via email per maggiori dettagli.

A quel punto determineremo se il resoconto si riferisce a un problema reale sulla sicurezza che necessita di essere corretto, oppure se si riferice a un normale bug della funzionalità.

Se il tuo resoconto soddisfa i criteri di cui sopra, ti invieremo una mail per comunicarti che abbiamo accettato il tuo "Bounty", e comincieremo a lavorare per correggere questo problema.

Il bounty

La ricompensa per le vulnerabilità che si qualificano come tali è vedere incluso il proprio nome nella nostra pagina del programma Bounty dei bug e una maglietta del team addetto alla sicurezza, "Etsy Security Team"! Le ricompense monetarie sono a nostra discrezione per i bug distintamente creativi o particolarmente gravi. Se ti incontreremo a una conferenza sulla sicurezza, ti daremo un "cinque" e faremo sapere a tutti quanto bravo tu sia! 

Come segnalare una vulnerabilità 

Ti preghiamo di contattarci utilizzando questo modulo: https://www.etsy.com/bounty 

Tieni presente che le segnalazioni riguardanti attività di natura fraudolenta, controversie relative agli account, oppure casi di spam non fanno parte del programma bounty relativo ai bug. Per questo tipo di problematiche, ti chiediamo gentilmente di contattare l'assistenza di Etsy.

Ti chiediamo anche di non contattare gli impiegati di Etsy direttamente in relazione a un caso che hai presentato al programma bounty. Ci riserviamo il diritto di rifiutare o revocare l'appartenenza al programma in qualsiasi momento e per qualsiasi motivo.

Imposte e restrizioni

Questo proramma non è aperto ai minori, agli individi che siano inclusi in elenchi di sanzioni, o agli individui provenienti da paesi inclusi in elenchi di sanzioni. L'utente è responsabile per eventuali conseguenze fiscali o ulteriori restrizioni a seconda del paese e delle leggi locali.

Ci riserviamo il diritto di cancellare questo programma in qualsiasi momento, e la decisione di pagare una ricompensa è interamente a nostra discrezione. Non è permesso violare alcuna legge. Inoltre, non è permesso perturbare alcun servizio o compromettere i dati degli utenti.

Apprezziamo molto gli sforzi di chi porta avanti delle ricerche sulla sicurezza al fine di mantenere al sicuro la nostra Community. L'elenco delle persone che in passato ci hanno responsabilmente rivelato delle vulnerabilità si trova qui.

Questo articolo ti è stato utile?

Hai altre domande?

Contatta l'assistenza