Responsible Disclosure

06/06/2019 - 15:15

  • Responsible Disclosure
- + Text size
Stampa
PARTNERSHIP-300x140

Per inviare una segnalazione scrivi a
responsible-disclosure@telecomitalia.it

Trovi le regole qui di seguito.

La Responsible Disclosure definisce una modalità per segnalare vulnerabilità dei sistemi informatici, lasciando al ricevente il tempo necessario per poter individuare ed applicare le opportune contromisure, prima di renderle pubbliche.

Applicando questo modello controllato ed eticamente corretto,  per le segnalazioni di vulnerabilità di sicurezza, si contribuisce ad innalzare il livello di protezione dei servizi informatici e dei prodotti offerti ai clienti, aiutando le aziende a rilevare e porre rimedio alle falle dei sistemi, per evitare che vengano creati danni o disservizi.

Nell’eventualità in cui un cliente, un ricercatore o un esperto rilevasse una o più vulnerabilità riguardanti i seguenti ambiti:

  • Portali TIM (ad es. www.tim.it, telecomitalia.com)
  • Applicazioni mobili a marchio TIM e pubblicate sugli store ufficiali (ad es. TIM Music, My TIM Fisso, TIM Telefono)
  • Dispositivi a marchio TIM (ad es. decoder TIM Vision, modem-router ADSL con l'esclusione dei cellulari)
  • Apparati della rete TIM fissa e mobile (ad es. router, bilanciatori)

può segnalarle a TIM secondo la procedura descritta di seguito.

Utilizzando la procedura di Responsible Disclosure, chi segnala la vulnerabilità del sistema si impegna, nei confronti di TIM, ad effettuare una divulgazione responsabile così da non esporre altri clienti a rischi di sicurezza non necessari.

Il segnalante deve tuttavia astenersi da qualsiasi attività che potrebbe comportare disservizi o perdita di dati relativamente ai sistemi e servizi coinvolti nella segnalazione.

La Responsible Disclosure implica inoltre che il segnalante non abbia spiato e divulgato dati di terze parti senza il loro consenso.

In particolare chi avvia la procedura deve:

  1. Inviare la segnalazione all’indirizzo email responsible-disclosure@telecomitalia.it con le seguenti informazioni:
    • Propri dati identificativi (nome, cognome ed eventuale organizzazione per cui lavora)
    • Il tipo di vulnerabilità rilevata
    • Il servizio/apparato/applicazione impattato dalla falla
    • La descrizione dettagliata della problematica (al fine di poterla riprodurre)
    • L'indirizzo IP da cui è stata scoperta la vulnerabilità e la data/ora di rilevamento
    • Un archivio/zip di tutti i file che possono aiutare a riprodurre la problematica (es. immagini, file di testo con descrizione di dettaglio, PoC, codice sorgente, script, file pcap, log, indirizzi IP sorgenti utilizzati, …). Le dimensioni massime dell’archivio non possono superare i 10MB. Se si protegge l’archivio con una password, occorre fornirla nel testo della mail.
    • Il consenso o meno a comunicare i propri dati all’eventuale produttore della tecnologia coinvolta dalla segnalazione, per una possibile interazione diretta.
    • La disponibilità ad essere inseriti nella sezione Hall of Fame della Responsible Disclosure di TIM , in cui gli autori delle segnalazioni vengono menzionati e ringraziati pubblicamente per i contributi forniti. Specificare un contatto personale da aggiungere al Nome e Cognome, se si desidera.
    • Chi avvia la procedura di Responsible Disclosure può cifrare la mail usando la seguente chiave pubblica:
      PGP key: 0x68DEAD71
      Fingerprint:
      0184D9E3E0CACB6F6E9A813BDE90CF9768DEAD71
  2. Mantenere strettamente riservate e segrete le vulnerabilità scoperte, impegnandosi a non rivelarle o altrimenti renderle disponibili a terzi, per un periodo comunque non inferiore a 90 giorni, per consentire a TIM di individuare ed applicare le opportune contromisure. In caso di situazioni particolarmente complesse, TIM si riserva di estendere tale periodo, dandone opportuna informativa a chi ha inviato la segnalazione.
  3. Nel caso in cui fosse una persona giuridica (pubblica o privata), un ente, un consorzio o altra forma associativa, chi invia la segnalazione si impegna a limitare l'accesso alle informazioni sulle vulnerabilità rilevate ai soli propri dipendenti e nella misura strettamente necessaria per la propria attività, provvedendo comunque a porre in essere tutte le misure idonee ed adeguate ad assicurare la riservatezza ed i suddetti limiti d’accesso e d’uso delle informazioni sulle falle scoperte.

Una volta ricevuta la segnalazione, TIM si impegna a:

  1. inviare una prima mail di riscontro con cui comunica che la segnalazione è stata ricevuta, cui farà seguito entro 10 giorni una successiva mail sulla pertinenza della segnalazione rispetto al processo Responsible Disclosure e sull’esito dell’analisi preliminare effettuata da TIM;
  2. gestire la segnalazione in maniera adeguata per rispettare i tempi indicati e, in caso di segnalazione eleggibile relativa a vulnerabilità non già in corso di risoluzione, a ringraziare pubblicamente l'autore nella sezione ”Hall of Fame” se questo ha fornito la sua autorizzazione.

TIM si riserva la possibilità di non gestire segnalazioni che non soddisfano i criteri qui indicati.

TIM sottolinea l’importanza di assumere un atteggiamento responsabile anche dopo il rilascio della patch in quanto il suo processo di dispiegamento può essere lungo e complesso. Pertanto si chiede di valutare con attenzione il tipo di informazioni rilasciate al riguardo, sempre con l’obiettivo di preservare la sicurezza degli utenti.

Di seguito sono forniti alcuni esempi di Categorie di vulnerabilità considerate come eleggibili per la pubblicazione nella Hall of Fame:

  • Cross Site Scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • Injection (ad es. SQL injection, user input)
  • Broken Authentication and Session Management
  • Broken Access Control
  • Security Misconfiguration
  • Redirect / Man in the Middle attacks
  • Remote code execution
  • Underprotected API
  • Privilege Escalation

Sono invece escluse dall’iniziativa di Responsible Disclosure, e quindi considerate non eleggibili alla pubblicazione nella Hall of Fame, le seguenti casistiche:

  • aspetti non inerenti la sicurezza (es. indisponibilità dei servizi, bug di GUI, ecc.) e gestibili quindi attraverso i canali tradizionali di customer care quali il 187, 119 e 191;
  • problematiche di phishing/spam e vulnerabilità inerenti tecniche di social engineering da segnalare alla casella abuse@telecomitalia.it o tramite la form che si trova alla pagina https://www.telecomitalia.com/tit/it/sustainability/form-abuse.html
  • esiti di tool automatici di vulnerability assessment/penetration testing (es Nessus, nmap…).

TIM si riserva la possibilità di aggiornare, in qualunque momento, la procedura di Responsible Disclosure sopra descritta.

Ringraziamo pubblicamente tutti coloro che contribuiscono, in maniera responsabile, a proteggere i nostri Clienti, migliorando la sicurezza dei nostri servizi e prodotti.

2019

  • Andrea Guglielmini, www.linkedin.com/in/andrea-g-563626112 | XSS vulnerability
  • Andrei Conache, http://linkedin.com/in/andrei-conache | Multiple XSS vulnerabilities
  • Andrei Manole, www.linkedin.com/in/andrei-manole-81626090 | SQL injection
  • Antonio Arlia Ciombo, www.linkedin.com/in/antonio-arlia-ciombo-122191121| XSS vulnerability
  • Flavio Baldassi, www.linkedin.com/in/flavio-baldassi | Multiple Security Misconfigurations
  • Francesco Lacerenza, linkedin.com/in/francesco-lacerenza | Security Misconfiguration
  • Mario Alviano, alviano.com | Broken Authentication and Session Management, Underprotected API
  • Simone Quatrini | Multiple Security Misconfigurations

2018

  • Abdel Adim Oisfi, twitter.com/smaury92 | XSS vulnerability
  • Akash Labade, www.linkedin.com/in/m0ns7er | CSRF, XSS vulnerability
  • Akash Upadhyay, www.linkedin.com/in/akash-upadhayay | Multiple Redirects
  • Alessandro Groppo, it.linkedin.com/in/alessandro-groppo-1a0429146 | Security Misconfiguration
  • Alessandro Moccia, www.linkedin.com/in/mocciaalessandro | XSS vulnerability
  • Alessio Santoru, www.linkedin.com/in/alessiosantoru | XSS vulnerability
  • Alfie Njeru, twitter.com/emenalf | Multiple Security Misconfigurations
  • Andrea Bocchetti, www.linkedin.com/in/andreabocchetti | Multiple XSS vulnerabilities, Redirect
  • Andrea Draghetti, www.andreadraghetti.it | Security Misconfiguration
  • Andrea Guglielmini, www.linkedin.com/in/andrea-g-563626112 | Underprotected API
  • Andrei Conache, twitter.com/andrei_conache | Multiple XSS vulnerabilities
  • Andrei Manole, www.linkedin.com/in/andrei-manole-81626090 | XSS vulnerability
  • Angelo Anatrella, angelo.anatrella@gmail.com | XSS vulnerability
  • Antonio Cannito, m.facebook.com/antonio.cannito.banzi | Multiple Security Misconfigurations, CSRF, Multiple XSS vulnerabilities, Broken Authentication and Session Management, SQL injection
  • Bill Ben Haim, www.linkedin.com/in/vill-ben-haim-b6775a48 | XSS vulnerability
  • Carlo Pelliccioni, twitter.com/cpelliccioni | Multiple XSS vulnerabilities, Redirect
  • Cristiano Maruti, www.linkedin.com/in/cmaruti | Broken Access Control, XSS vulnerability
  • Davide Del Vecchio, www.davidedelvecchio.com | XSS vulnerability, Security Misconfiguration
  • Domenico Curigliano, www.linkedin.com/in/domenico-matis-curigliano | Multiple Remote code executions, Multiple XSS vulnerabilities, Redirect
  • Donato Scaramuzzo, www.linkedin.com/in/donato-scaramuzzo-1911b83a | Broken Authentication and Session Management
  • Emanuele Gentili, twitter.com/emgent | HTML Code injections, XSS vulnerability, Redirect, Security Misconfiguration
  • Ezio Paglia, www.linkedin.com/in/ezio-paglia-3704196 | Multiple Security Misconfigurations, Multiple XSS vulnerabilities
  • Fabio Pietrosanti, twitter.com/fpietrosanti | Security Misconfiguration
  • Federico Camponogara, www.linkedin.com/in/federico-shellock-ab616a30| Redirect, Broken Access Control, Security Misconfiguration
  • Federico Valentini, twitter.com/f3d_0x0 | SQL injection
  • Federico Zambito, www.linkedin.com/in/federico-zambito-2b967571 | Redirect
  • Frank Vickers, www.linkedin.com/in/frank-vickers-199109a | Multiple Security Misconfigurations
  • Giovanni Guido, twitter.com/cafebab3 | XSS vulnerability
  • Giulio Comi, linkedin.com/in/giuliocomi | Remote code execution
  • Ismail Tasdelen, www.linkedin.com/in/ismailtasdelen | Multiple Security Misconfigurations
  • Jacopo Jannone, www.jacopojannone.com | XSS vulnerability
  • Jose Carlos Exposito Bueno | Multiple XSS vulnerabilities, SQL injection
  • Kasper Karlsson | XSS vulnerability
  • Lorenzo Comi, www.linkedin.com/in/lorenzo-comi-53b94789 | SQL Injection, Broken Authentication and Session Management
  • Lorenzo Stella, www.linkedin.com/in/stellalorenzo | Security Misconfiguration, Underprotected API
  • Luca Capacci, www.linkedin.com/in/lucacapacci | Redirect
  • Luigi Gubello, www.gubello.me | Multiple XSS vulnerabilities
  • Marco Nappi, www.linkedin.com/in/marco-nappi-a58224157/ | Multiple XSS vulnerabilities
  • Mattia Reggiani, twitter.com/mattia_reggiani | XSS vulnerability
  • Mert Can Esen, www.linkedin.com/in/mertcanesen | XSS vulnerability
  • Michele Toccagni, hacktips.it | SQL injection, XSS vulnerability, Multiple Security Misconfigurations
  • Mohamed Ouad, www.linkedin.com/in/ouadmoha | Broken Authentication and Session Management, Underprotected API
  • Paolo Giai | keybase.io/polict | XSS vulnerability
  • Paolo Montesel, twitter.com/pmontesel | Underprotected API
  • Paolo Stagno, voidsec.com | XSS vulnerability, Redirect
  • Pasquale Fiorillo, www.pasqualefiorillo.it | XSS vulnerability, Multiple SQL injections
  • Raffaele Forte, backbox.org | Remote Code Execution
  • Raffaele Sabato, syrion.me | Multiple Security Misconfigurations
  • Shubham Pathak, twitter.com/ShubhamPthk | Multiple Security Misconfigurations
  • Simone Cardona, www.linkedin.com/in/simone-cardona | Multiple XSS vulnerabilities, Redirect, Security, Misconfiguration
  • Simone Onofri, it.linkedin.com/in/simoneonofri | XSS vulnerability, Redirect
  • Simone Quatrini | Security Misconfiguration, XSS vulnerability
  • Valerio Mancini, www.linkedin.com/in/valerio-mancini-2520a067 | Remote code execution
  • Vincenzo Chieppa, twitter.com/Procode701 | XSS vulnerability, SQL injection
  • Vishal Jain, linkedin.com/in/vishaljain113 | Security Misconfiguration