Bug bounty: Pronti per più sicurezza informatica

Siamo la prima impresa in Svizzera a sostenere la segnalazione e la risoluzione rapida di falle nella sicurezza (bug) nei nostri prodotti e servizi, con il programma Bug Bounty. Sia i privati che le organizzazioni sono invitati a segnalare le vulnerabilità al nostro Computer Security Incident Response Team (CSIRT).

Notifica la vulnerabilità di sicurezza

Annunciateci una vulnerabilità via il nostro portale:

Bug Bounty Portal

Per ogni altra domanda a proposito del programma Bug Bounty potete contattarci via email:

bug.bounty@swisscom.com

PGP key id 350B4B73FA225C67
PGP fingerprint 28E7 E4D0 7ED7 9083 A93C  03B2 350B 4B73 FA22 5C67
PGP public key public key
Postal address
 Swisscom (Svizzera) SA
GSE-CYD
Alte Tiefenaustrasse 6
CH-3048 Worblaufen

Contenuto della segnalazione

Nella segnalazione devono comparire tutte le informazioni necessarie per identificare la falla. Tra di esse rientrano:
 

  • il tipo di falla
  • un’indicazione precisa del prodotto/servizio interessato
  • una descrizione sufficientemente dettagliata della vulnerabilità e del sistema interessato
  • una descrizione sufficientemente chiara e approfondita delle operazioni necessarie per sfruttare la falla, per esempio una documentazione passo passo
  • informazioni aggiuntive come script PoC, screenshot, HTTP request ecc.

Le segnalazioni a proposito di problemi o siti seguenti non saranno considerate:
 

  • L'assenza di una funzione di sicurezza o la divulgazione di informazioni non sensibili non constituiscono una vulnerabilità:
    •   "Information Disclosure" senza dati sensibili
    •   Clickjacking
    •   Open Redirects
  • Vulnerabilità su sistemi nei domini:
    •   *.cust.swisscom.ch
    •   *.pub.wingo.ch e
    •   *.cust.wingo.ch
  • Annunci a proposito di Fastweb

 

Principio

La collaborazione tra Swisscom e la security community è regolata dalle seguenti regole, che tutte le parti devono rispettare.
 

  • La pubblicazione della falla di sicurezza segue il principio della «responsible disclosure» (v. sotto)
  • La segnalazione viene effettuata esclusivamente a Swisscom
  • Nessuna delle attività che consentono la scoperta di una falla di sicurezza viola la legislazione vigente
  • Vengono assegnati bounty. L’importo dipende dalla gravità della vulnerabilità riscontrata e dalla qualità della documentazione inviata a Swisscom

Responsible disclosure

Una «responsible disclosure» deve rispettare i seguenti criteri.
 

  • Swisscom ha un tempo sufficiente, di regola almeno 90 giorni, per verificare e risolvere la vulnerabilità
  • I test non devono danneggiare servizi e prodotti di Swisscom
  • È vietato consultare abusivamente e inoltrare dati di terzi
  • La vulnerabilità non deve essere comunicata a terzi
  • Sono escluse pretese correlate alla segnalazione di una vulnerabilità

Procedura

Il CSIRT di Swisscom organizza un processo standardizzato di raccolta, risoluzione ed ev. pubblicazione coordinata delle vulnerabilità segnalate da esterni.

Vulnerabilità risolte

ID Prodotto interessato Credits
CVE-2020-16134
 Swisscom Internet-Box Martin Jindra – digi.ch GmbH
CVE-2019-19940
CVE-2019-19941
CVE-2019-19942		 Swisscom Centro Grande,
Swisscom Centro Business		 Cyril Mueller
SCBB-2986 Tufin Secure Change Raphaël Arrouas
SCBB-2629 Swisscom Internet Box Matthias Galliker
CVE-2018-16596 Swisscom Internet-Box Michael Mazzolini – GoldNetwork

CVE-2018-15476

CVE-2018-15477

CVE-2018-15478

CVE-2018-15479

CVE-2018-15480

 myStrom WiFi Product Line Jan Almeroth (@almeroth)
CVE-2018-13108 Centro Business (ADB) Johannes Greil (Office Vienna), SEC Consult Vulnerability Lab
CVE-2018-6765 Swisscom MySwisscomAssistant Kushal Arvind Shah, Fortinet FortiGuard Labs
CVE-2018-6766 Swisscom TVMediaHelper Kushal Arvind Shah, Fortinet FortiGuard Labs
CVE-2016-10042 Swisscom Internet Box (Arcadyan) Mateusz Khalil
2016-6270433 Swisscom DSL Router Centro Grande (ARRIS/Motorola) Matthias Galliker
CVE-2015-6498 Home Device Manager, Alcatel-Lucent Dr. Ulrich Fiedler,
BFH-TI Biel/Bienne
CVE-2015-1188 Swisscom DSL Router Centro Grande (ADB), ADB Ivan Almuina
CVE-2015-1187 D-Link DIR636L, D-Link Tiago Caetano Henriques
CVE-2014-3809 1830 Photonic Service Switch, Alcatel-Lucent Stephan Rickauer