Segnalazione responsabile

• È fondamentale agire in buona fede, evitando qualsiasi violazione della privacy o interruzione dei nostri servizi. Questo include accessi non autorizzati, distruzione di dati o degradazione dei servizi. È necessario rispettare tutte le leggi e normative applicabili, in particolare quelle che vietano l’accesso non autorizzato ai dati.
• Se scopri una vulnerabilità, utilizzala solo a fini dimostrativi e mai al di fuori del tuo account personale o senza il consenso esplicito e scritto del titolare dell'account coinvolto. È inoltre necessario considerare attentamente i rischi aggiuntivi che la vulnerabilità potrebbe comportare, come il potenziale compromesso di dati aziendali sensibili o di account di altri utenti.
• Evita scansioni automatizzate.
• Non testare la sicurezza fisica delle sedi, del personale e dei dispositivi di Trustly.
• Non è consentito l’uso di tecniche di social engineering (phishing, vishing, ecc.).
• Non effettuare attacchi DoS o DDoS.
• Non divulgare le vulnerabilità senza l’autorizzazione esplicita di Trustly.
• Manteniamo un elenco dei ricercatori che hanno inviato segnalazioni valide. L’inclusione è facoltativa. Ci riserviamo il diritto di limitare le informazioni associate al tuo nome.

Siamo interessati esclusivamente a vulnerabilità riscontrate su domini o indirizzi IP di proprietà di Trustly Group AB o Trustly Inc. Ti invitiamo a verificare i registri WHOIS per accertarti che siano effettivamente di nostra proprietà.

Le seguenti tipologie di vulnerabilita' sono sempre escluse (elenco non esaustivo):

• Pagine di errore HTTP come 404
• Banner footprinting su servizi pubblici
• File noti come robots.txt
• Clickjacking
• CSRF su form accessibili senza autenticazione
• Logout-CSRF
• Autocompletamento o salvataggio automatico delle password
• Cookie non sensibili senza flag secure/HTTP-only
• Metodo HTTP OPTIONS abilitato
• Enumerazione di email trustly.com
• Header HTTP mancanti come:
• a. Strict-Transport-Security
• Problemi TLS/SSL come BEAST, BREACH, suite di cifratura deboli, ecc.
• Spoofing dei contenuti o text injection senza impatto HTML/CSS
• Politiche deboli per le password
• Configurazioni errate per DMARC, SPF, DKIM
• Questa lista non è esaustiva.

Come riconoscimento, manteniamo una Hall of Fame per chi ci ha aiutato a migliorare la sicurezza. La partecipazione è volontaria. Grazie per aver contribuito a rendere Trustly più sicuro.

Apprezziamo il tempo e gli sforzi che dedichi a rendere Trustly un ambiente ancora più sicuro.

‍

• Maara (hackerone.com/maara)
• Shubham Sanjay Deshmukh (LinkedIn)
• Zeeshan Khalid (X)