Bug bounty: chiudiamo le falle di sicurezza

Con il nostro programma bug bounty favoriamo la segnalazione e la rapida risoluzione di falle di sicurezza nei prodotti e servizi di Swisscom. Sia i privati che le organizzazioni sono invitati a segnalare le vulnerabilità al nostro Computer Security Incident Response Team (CSIRT).

Notifica di vulnerabilità

Annunciateci una vulnerabilità via il nostro portale:

Bug Bounty Portal

Per ogni altra domanda a proposito del programma Bug Bounty potete contattarci via email:

bug.bounty@swisscom.com

PGP key id	EACE7621
PGP fingerprint	0D9E 4E7C AA3D 666F 7AA8 2126 FA1E 1D53 EACE 7621
PGP public key	public key
Postal address	Swisscom (Svizzera) SA GSE-CYD Alte Tiefenaustrasse 6 CH-3048 Worblaufen

Contenuto della segnalazione

Nella segnalazione devono comparire tutte le informazioni necessarie per identificare la falla. Tra di esse rientrano:

il tipo di falla
un’indicazione precisa del prodotto/servizio interessato
una descrizione sufficientemente dettagliata della vulnerabilità e del sistema interessato
una descrizione sufficientemente chiara e approfondita delle operazioni necessarie per sfruttare la falla, per esempio una documentazione passo passo
informazioni aggiuntive come script PoC, screenshot, HTTP request ecc.

Le segnalazioni a proposito di problemi o siti seguenti non saranno considerate:

L'assenza di una funzione di sicurezza o la divulgazione di informazioni non sensibili non constituiscono una vulnerabilità:
- "Information Disclosure" senza dati sensibili
- Clickjacking
- Open Redirects
Vulnerabilità su sistemi nei domini: *.cust.swisscom.ch
Annunci a proposito di Fastweb

Principio

La collaborazione tra Swisscom e la security community è regolata dalle seguenti regole, che tutte le parti devono rispettare.

La pubblicazione della falla di sicurezza segue il principio della «responsible disclosure» (v. sotto)
La segnalazione viene effettuata esclusivamente a Swisscom
Nessuna delle attività che consentono la scoperta di una falla di sicurezza viola la legislazione vigente
Vengono assegnati bounty. L’importo dipende dalla gravità della vulnerabilità riscontrata e dalla qualità della documentazione inviata a Swisscom

Responsible disclosure

Una «responsible disclosure» deve rispettare i seguenti criteri.

Swisscom ha un tempo sufficiente, di regola almeno 90 giorni, per verificare e risolvere la vulnerabilità
I test non devono danneggiare servizi e prodotti di Swisscom
È vietato consultare abusivamente e inoltrare dati di terzi
La vulnerabilità non deve essere comunicata a terzi
Sono escluse pretese correlate alla segnalazione di una vulnerabilità

Procedura

Il CSIRT di Swisscom organizza un processo standardizzato di raccolta, risoluzione ed ev. pubblicazione coordinata delle vulnerabilità segnalate da esterni.

Vulnerabilità risolte

ID	Prodotto interessato	Credits
CVE-2020-16134	Swisscom Internet-Box	Martin Jindra – digi.ch GmbH
CVE-2019-19940 CVE-2019-19941 CVE-2019-19942	Swisscom Centro Grande, Swisscom Centro Business	Cyril Mueller
SCBB-2986	Tufin Secure Change	Raphaël Arrouas
SCBB-2629	Swisscom Internet Box	Matthias Galliker
CVE-2018-16596	Swisscom Internet-Box	Michael Mazzolini – GoldNetwork
CVE-2018-15476 CVE-2018-15477 CVE-2018-15478 CVE-2018-15479 CVE-2018-15480	myStrom WiFi Product Line	Jan Almeroth (@almeroth)
CVE-2018-13108	Centro Business (ADB)	Johannes Greil (Office Vienna), SEC Consult Vulnerability Lab
CVE-2018-6765	Swisscom MySwisscomAssistant	Kushal Arvind Shah, Fortinet FortiGuard Labs
CVE-2018-6766	Swisscom TVMediaHelper	Kushal Arvind Shah, Fortinet FortiGuard Labs
CVE-2016-10042	Swisscom Internet Box (Arcadyan)	Mateusz Khalil
2016-6270433	Swisscom DSL Router Centro Grande (ARRIS/Motorola)	Matthias Galliker
CVE-2015-6498	Home Device Manager, Alcatel-Lucent	Dr. Ulrich Fiedler, BFH-TI Biel/Bienne
CVE-2015-1188	Swisscom DSL Router Centro Grande (ADB), ADB	Ivan Almuina
CVE-2015-1187	D-Link DIR636L, D-Link	Tiago Caetano Henriques
CVE-2014-3809	1830 Photonic Service Switch, Alcatel-Lucent	Stephan Rickauer