Se ritieni di aver trovato un potenziale bug di sicurezza, saremmo grati se ce ne mettessi responsabilmente a conoscenzainviando un’email a security@luigisbox.com. Ti forniremo una ricompensa finanziaria per la tua segnalazione, in base alla gravità e all’impatto del bug segnalato. La ricompensa massima è di 1000 euro per i problemi critici.
Prima di inviare la segnalazione, assicurati che non si tratti di uno dei tipi di segnalazione non ammissibili menzionati in questo documento.
Tempi di risposta standard
- Conferma di ricezione: entro 2 giorni lavorativi
- Triage e classificazione: entro 7 giorni lavorativi
- Pagamento: entro 30 giorni
Le fasce pagamento standard sono le seguenti:
- Nessuno/Non valido: 0 EUR
- Basso: 100 EUR
- Medio: 300 EUR
- Alto: 500 EUR
- Critico: 1000 EUR
Termini e condizioni di pagamento
- Firmi l’NDA
- Emetterai una fattura da un soggetto giuridico B2B
- Il paese di residenza della tua persona giuridica non deve essere incluso nella lista delle sanzioni dell’UE.
- Sei responsabile degli obblighi fiscali nel tuo paese di residenza.
- Ci riserviamo il diritto di posticipare il pagamento o di suddividerlo in diverse transazioni più piccole, nel caso in cui il volume delle segnalazioni sia elevato.
- Ci riserviamo il diritto di classificare la gravità e l’impatto della segnalazione e di selezionare l’importo della ricompensa a nostra discrezione.
- Verrà premiata solo la prima segnalazione di un determinato problema valido. Una volta ricevuta la segnalazione, tutte le altre segnalazioni relative allo stesso problema saranno rifiutate in quanto duplicate. Le segnalazioni vengono prese in considerazione nell’ordine in cui vengono ricevute. Ci basiamo sulla fiducia reciproca e non forniamo “prove” del duplicato.
- Non negoziamo né mercanteggiamo l’importo della ricompensa.
- Ci riserviamo il diritto di ritenere non valido qualsiasi problema.
Ambito di applicazione
Nome asset
Coverage
CVSS
Bounty
Nome asset
app.luigisbox.com
Coverage
In scope
CVSS
Critico
Bounty
Eligible
Nome asset
live.luigisbox.com
Coverage
In scope
CVSS
Critico
Bounty
Eligible
Nome asset
www.luigisbox.com
Coverage
Out of scope
CVSS
Nessuno
Bounty
Not eligible for bounty
Tipi di vulnerabilità non ammissibili
- Problemi con la configurazione SPF, DKIM o DMARC
- Distributed Denial of Service (DDOS)
- Segnalazioni di best practice senza un exploit valido (ad esempio, utilizzo di cifrari TLS “deboli”)
- Configurazione del DNS secondo le migliori pratiche senza un exploit valido
- Problemi relativi alle opzioni X-Frame
Bug logici o problemi non legati alla sicurezza