Politica sulla divulgazione delle vulnerabilità

Il team della sicurezza di Zoom si impegna a proteggere gli utenti e i loro dati. Crediamo che la community di ricerca sulla sicurezza indipendente rappresenti il contributo fondamentale alla sicurezza di Internet e accogliamo sempre le segnalazioni su eventuali problemi di sicurezza.

Questa politica fornisce le linee guida ai ricercatori sulla sicurezza portare avanti ricerche etiche e coordinare la divulgazione delle vulnerabilità nell'ambito della sicurezza su Zoom.

Abbiamo sviluppato una politica che riflette i nostri valori e manifesta il nostro senso di responsabilità verso la sicurezza di chi condivide con noi la sua esperienza in questo ambito. Incoraggiamo gli esperti della sicurezza a segnalare potenziali vulnerabilità per poterle risolvere e per tenere gli utenti sempre al sicuro.

Questo programma è ospitato su HackerOne e riguarda solo la divulgazione coordinata di potenziali vulnerabilità nella sicurezza del software.

Regole del programma

  • Notifica appena possibile la scoperta di potenziali vulnerabilità nella sicurezza. Non cercare di testare autonomamente la tua vulnerabilità.
  • Utilizza e accedi solo agli account e alle informazioni che appartengono a te.
  • Non distruggere o modificare i dati che non sono di tua proprietà.
  • Non danneggiare le prestazioni dei prodotti e dei servizi di Zoom o dei nostri utenti.
  • Non realizzare azioni di ingegneria sociale, attacchi fisici o denial of service sul personale, le sedi o le risorse di Zoom.
  • Segui le linee guida sulla divulgazione di HackerOne, la presente Politica sulla divulgazione delle vulnerabilità e tutte le normative applicabili.

Ambito di applicazione

La presente politica si applica ai prodotti, ai servizi e ai sistemi di Zoom. Ricorda sempre di verificare accuratamente quali risorse stai testando durante le tue ricerche.

Riporta sempre i problemi di Keybase al programma di ricompense per i bug rilevati dedicato di HackerOne.

Eventuali vulnerabilità riscontrate nei sistemi di fornitori esterni non rientrano nell'ambito della presente politica e devono essere riportati direttamente al fornitore interessato secondo il suo programma di divulgazione.

Se non sei sicuro che un sistema rientri nell'ambito della politica o se devi riportare una segnalazione a un fornitore, contattaci all'indirizzo security@zoom.us. Saremo felici di aiutarti!

Approdo sicuro

Tutte le attività portate avanti secondo quanto stabilito nella presente politica verranno considerate condotte autorizzate e non verranno perseguite con azioni legali. Nel caso in cui terze parti intraprendessero azioni legali contro di te in base a un'attività conforme alla nostra politica, ci impegneremo a fare presente che le tue azioni sono state portate avanti in totale conformità con la nostra politica.

Vulnerabilità escluse dalla Politica

  • Attacchi che richiedono MITM o accesso fisico al dispositivo di un utente.
  • Librerie vulnerabili già note senza un modello di verifica funzionante.
  • Clickjacking sulle pagine senza azioni sensibili.
  • Cross-Site Request Forgery (CSRF) su moduli non autenticati o moduli senza azioni sensibili.
  • Inserimento di valori separati da virgola (CSV) senza la dimostrazione della presenza di una vulnerabilità.
  • Buone pratiche non applicate nelle configurazioni SSL/TLS.
  • Attività che possono portare a un'interruzione del servizio.
  • Spoofing dei contenuti e problemi di inserimento di testo senza mostrare un vettore di attacco/senza poter modificare HTML/CSS.
  • Problemi di rate limiting o forza bruta su endpoint non autenticati.
  • Buone pratiche non applicate nella Policy sulla sicurezza dei contenuti.
  • HttpOnly mancante o contrassegni di sicurezza sui cookie.
  • Buone pratiche non applicate per le e-mail (registri SPF/DKIM/DMARC non validi, incompleti o mancanti, ecc.).
  • Vulnerabilità che riguardano solo gli utenti con browser datati o privi di patch (ovvero con meno di due versioni stabili rispetto all'ultima rilasciata).
  • Divulgazione della versione del software / problemi di identificazione del banner / messaggi o titoli di errore descrittivi (ad es. tracce di stack, errori di applicazione o server).
  • Le vulnerabilità "zero-day" pubbliche che dispongono di una patch ufficiale da meno di un mese verranno valutate a seconda del caso.
  • Tabnabbing.
  • Open redirect, a meno che non possa essere dimostrato un ulteriore impatto sulla sicurezza.

Come riportare una vulnerabilità

Accettiamo e comunichiamo le segnalazioni riguardanti potenziali vulnerabilità nella sicurezza tramite HackerOne.

Confermeremo di aver ricevuto la segnalazione entro un giorno lavorativo.

Cosa vorremmo vedere da te

Per aiutarci a valutare e risolvere potenziali casi, una segnalazione corretta dovrebbe:

  • Descrivere la vulnerabilità, dove è stata scoperta di preciso e l'impatto reale che ha.
  • Fornire una descrizione dettagliata delle fasi necessarie per riprodurre la vulnerabilità (eventuali prove, screenshot e video possono essere utili).
  • Includere se possibile una vulnerabilità per segnalazione (se non si tratta di una catena di attacchi).
  • Non riportare i risultati della scansione automatica senza una prova dell'effettiva utilità.

Cosa puoi aspettarti da noi

Quando decidi di condividere le tue informazioni di contatto con noi, ci impegniamo a coordinarci con te nel modo più aperto e rapido possibile.

  • Confermeremo di aver ricevuto la segnalazione entro un giorno lavorativo.
  • Al massimo delle nostre possibilità, ti confermeremo l'esistenza della vulnerabilità e saremo il più trasparenti possibili riguardo ai procedimenti di risoluzione, senza tralasciare le informazioni sui problemi e le difficoltà che potrebbero ritardare la risoluzione.
  • Manterremo un dialogo aperto per discutere di tutte le problematiche.

Idoneità

Il programma di ricompense per i bug rilevati di Zoom incoraggia i soggetti qualificati a inviare segnalazioni sulle vulnerabilità che rilevano nel dettaglio i bug in alcuni prodotti e servizi ben definiti. In alcune circostanze, Zoom può garantire un premio/una ricompensa in denaro a chi ha presentato tale tipo di segnalazione. Apprezziamo tutte le segnalazioni che riceviamo, ma solo quelle che rispondono a certi criteri possono essere scelte e ricevere il pagamento come ricompensa:

  • Devi essere il primo a inviare una segnalazione su quella specifica vulnerabilità.
  • Devi aver identificato la vulnerabilità personalmente o nell'ambito di un team di ricerca nel quale tutti sono idonei a partecipare al programma di ricompense per i bug rilevati.
  • Non devi essere un dipendente di Zoom, di una sua filiale o di un'entità ad esso legata, né esserlo stato negli ultimi 12 mesi.
  • Nella scoperta della vulnerabilità e nell'invio della segnalazione devi agire in totale conformità con la presente politica.
  • Non devono sussistere ragioni per cui Zoom non sia legalmente autorizzato ad assegnarti il premio in denaro.

Altri termini e condizioni

La tua partecipazione al programma di ricompense per i bug rilevati di Zoom non deve creare alcun tipo di relazione o partnership lavorativa tra te e Zoom. Non puoi dichiarare di essere un dipendente di Zoom o di una sua filiale. La tua partecipazione al programma deve risultare in totale conformità con tutte le normative applicabili. Sei responsabile di tutte le tasse applicabili associate a eventuali premi o ricompense ricevute. Le segnalazioni sulla vulnerabilità ricevute prima del lancio del presente programma non possono essere scelte per il premio e non possono essere inviate nuovamente con lo scopo di parteciparvi. Non puoi utilizzare i loghi di Zoom, il suo marchio commerciale o il marchio di un prodotto senza previa autorizzazione scritta da parte di Zoom. Zoom si riserva il diritto di modificare la presente politica in qualsiasi momento e senza previa notifica, ma posterà una versione aggiornata del presente documento. Zoom si riserva il diritto di interrompere il programma in qualsiasi momento e senza previa notifica.

Proprietà intellettuale

La partecipazione al programma di ricompense per i bug rilevati di Zoom non garantisce a te o a eventuali terze parti alcun diritto di proprietà intellettuale sui prodotti o i servizi di Zoom. Tutti i diritti non garantiti all'interno della presente politica sono espressamente riservati a Zoom. Anche se ti viene assegnato un premio per l'invio di una segnalazione, assegni tutti i diritti, i titoli e gli interessi a Zoom, compresi i diritti di proprietà intellettuale sulle vulnerabilità rilevate. Pertanto confermi di avere il diritto ad assegnare tali diritti, titoli e interessi a Zoom con l'invio del rapporto e dichiari che la partecipazione al programma di ricompense per i bug rilevati
di Zoom non viola eventuali accordi in atto con terze parti, ad esempio con il tuo datore di lavoro.