Meta-navigazione

Bug bounty


Bug bounty: chiudiamo le falle di sicurezza

Con il nostro programma bug bounty favoriamo la segnalazione e la rapida risoluzione di falle di sicurezza nei prodotti e servizi di Swisscom. Sia i privati che le organizzazioni sono invitati a segnalare le vulnerabilità al nostro Computer Security Incident Response Team (CSIRT).







Notifica di vulnerabilità

Annunciateci una vulnerabilità via il nostro portale:

Bug Bounty Portal


Per ogni altra domanda a proposito del programma Bug Bounty potete contattarci via email:

bug.bounty@swisscom.com


PGP key id 679603F0
PGP fingerprint A387 0022 1F33 4B4B 77F5 DFE3 E372 59A7 6796 03F0
PGP public key public key
Postal address
Swisscom (Svizzera) SA
GSE-MON
Pfingstweidstrasse 51
CH-8005 Zurigo






Contenuto della segnalazione

Nella segnalazione devono comparire tutte le informazioni necessarie per identificare la falla. Tra di esse rientrano:
 

  • il tipo di falla
  • un’indicazione precisa del prodotto/servizio interessato
  • una descrizione sufficientemente dettagliata della vulnerabilità e del sistema interessato
  • una descrizione sufficientemente chiara e approfondita delle operazioni necessarie per sfruttare la falla, per esempio una documentazione passo passo
  • informazioni aggiuntive come script PoC, screenshot, HTTP request ecc.

Le segnalazioni a proposito di problemi o siti seguenti non saranno considerate:
 

  • L'assenza di una funzione di sicurezza o la divulgazione di informazioni non sensibili non constituiscono una vulnerabilità:
    •   "Information Disclosure" senza dati sensibili
    •   Clickjacking
    •   Open Redirects
  • Vulnerabilità su sistemi nei domini: *.cust.swisscom.ch
  • Annunci a proposito di Fastweb

 







Principio

La collaborazione tra Swisscom e la security community è regolata dalle seguenti regole, che tutte le parti devono rispettare.
 

  • La pubblicazione della falla di sicurezza segue il principio della «responsible disclosure» (v. sotto)
  • La segnalazione viene effettuata esclusivamente a Swisscom
  • Nessuna delle attività che consentono la scoperta di una falla di sicurezza viola la legislazione vigente
  • Vengono assegnati bounty. L’importo dipende dalla gravità della vulnerabilità riscontrata e dalla qualità della documentazione inviata a Swisscom






Responsible disclosure

Una «responsible disclosure» deve rispettare i seguenti criteri.
 

  • Swisscom ha un tempo sufficiente, di regola almeno 90 giorni, per verificare e risolvere la vulnerabilità
  • I test non devono danneggiare servizi e prodotti di Swisscom
  • È vietato consultare abusivamente e inoltrare dati di terzi
  • La vulnerabilità non deve essere comunicata a terzi
  • Sono escluse pretese correlate alla segnalazione di una vulnerabilità






Procedura

Il CSIRT di Swisscom organizza un processo standardizzato di raccolta, risoluzione ed ev. pubblicazione coordinata delle vulnerabilità segnalate da esterni.







Vulnerabilità risolte


ID Prodotto interessato Credits
2016-6270433 Swisscom DSL Router Centro Grande (ARRIS/Motorola) Matthias Galliker
CVE-2015-6498 Home Device Manager, Alcatel-Lucent Dr. Ulrich Fiedler,
BFH-TI Biel/Bienne
CVE-2015-1188 Swisscom DSL Router Centro Grande (ADB), ADB Ivan Almuina
CVE-2015-1187 D-Link DIR636L, D-Link Tiago Caetano Henriques
CVE-2014-3809 1830 Photonic Service Switch, Alcatel-Lucent Stephan Rickauer