Politica di divulgazione responsabile di Mimecast
Mimecast considera la protezione dei dati dei clienti una responsabilità fondamentale e le attribuisce la massima priorità, poiché desideriamo offrire ai nostri clienti un’esperienza eccezionale in ogni fase del loro percorso. Prendiamo quindi molto sul serio la sicurezza dei nostri sistemi e apprezziamo sinceramente il contributo dei ricercatori nel campo della sicurezza e di tutti gli altri membri della comunità di sicurezza, che ci aiutano a garantire la sicurezza dei nostri sistemi. Insieme possiamo migliorare le cose e trovare il modo di affrontare le sfide. Mimecast tiene conto dei punti di vista altrui al fine di rafforzare la cyber resilience. La segnalazione responsabile delle vulnerabilità di sicurezza ci aiuta a garantire la sicurezza e la privacy di tutti i nostri utenti. Qualora dovesse individuare una vulnerabilità, Le saremmo grati se ce lo segnalasse in conformità con la presente Politica, in modo da poter risolvere il problema il prima possibile. Insieme possiamo raggiungere i nostri obiettivi grazie alla collaborazione, alla comunicazione e alla responsabilità.
Linee guida per la segnalazione responsabile
- Svolgere attività di ricerca esclusivamente nell’ambito degli “Oggetti di applicazione” definiti nella presente Politica;
- "I clienti Mimecast sono pregati di aprire un ticket per qualsiasi segnalazione non relativa alla sicurezza"
- Per aiutarci a comprendere la natura e la portata della potenziale vulnerabilità, vi invitiamo a visitare il sito https://bugcrowd.com/3905fe58-e58e-491d-87dc-a8a9264eb662/external/report e compili il modulo fornendo quante più informazioni possibili. Una volta terminato, faccia clic su “Segnala vulnerabilità” per inviare la sua segnalazione a Mimecast;
- La preghiamo di mantenere riservate le informazioni relative a qualsiasi vulnerabilità da Lei individuata, limitandone la divulgazione esclusivamente a Lei e a Mimecast, fino a quando non avremo avuto a disposizione almeno 90 giorni per esaminare e risolvere il problema. È importante sottolineare che i tempi necessari per l’esame e la risoluzione di un problema possono variare in base a una serie di fattori, tra cui la complessità della vulnerabilità e il rischio che essa possa comportare, tra gli altri;
- Mantenete aperti i canali di comunicazione per consentire una collaborazione efficace;
- Si raccomanda di fare tutto il possibile per evitare violazioni della privacy, un peggioramento dell’esperienza utente, interruzioni dei sistemi di produzione e la distruzione dei dati durante i test di sicurezza
Cosa potete aspettarvi da noi:
- Lavoreremo al vostro fianco per comprendere e risolvere il problema, nell’ottica di migliorare la protezione dei nostri clienti e dei nostri sistemi;
- Se seguirà le linee guida sopra indicate, non intraprenderemo né sosterremo alcuna azione legale relativa alla sua ricerca;
- Ci impegneremo a rispondere alla Sua segnalazione entro 3 giorni lavorativi dalla sua presentazione
Ambito di applicazione
- https://www.mimecast.com
- Server MTA Mimecast
- Server POP di Mimecast
- Servizio Mimecast Large File Send (LFS)
- Servizio Mimecast Secure Messaging (SM)
- Utilità di audit Unified di Mimecast
- Console di amministrazione Mimecast
- Mimecast Personal Portal
- Mimecast Service Monitor
- API Mimecast
- Mimecast Web Security
- Mimecast DMARC Analyzer
- Mimecast Brand Exploit Protect
- App mobili per Android e iOS
- https://blog.mimecast.com
Fuori dall'ambito di applicazione
Sono esclusi dall'ambito di applicazione tutti i servizi ospitati da fornitori terzi. Tali servizi comprendono:
- Knowledge Base di Mimecast (kb.mimecast.com);
- Mimecast Academy (academy.mimecast.com);
- https://community.mimecast.com;
- e qualsiasi altro elemento non espressamente indicato nella sezione “Ambito di applicazione” sopra riportata.
Nell’interesse della sicurezza dei nostri clienti, del nostro personale, di Internet in generale, nonché della Sua persona in qualità di ricercatore nel campo della sicurezza, i seguenti tipi di test sono esclusi dall’ambito di applicazione:
- Qualsiasi tentativo di modificare o distruggere dati;
- Risultati derivanti principalmente dall'ingegneria sociale (ad esempio, Phishing);
- Risultati provenienti da applicazioni o sistemi non elencati nella sezione “Ambito di applicazione”;
- Vulnerabilità di tipo Denial of Service (DoS/DDoS) a livello di rete o qualsiasi altro tentativo di interrompere o compromettere i servizi offerti da Mimecast, compresa la capacità degli utenti finali di utilizzare il servizio;
- Qualsiasi tentativo di accedere all’account o ai dati di un utente;
- E tutto ciò che non sia consentito dalla normativa vigente...
Vulnerabilità ammissibili
Che cos’è una “vulnerabilità idonea”?Vulnerabilità delle applicazioni web quali XSS, XXE, CSRF, SQLi, inclusione di file locale o remota, problemi di autenticazione, esecuzione di codice remoto, problemi di autorizzazione, escalation dei privilegi e clickjacking. La vulnerabilità deve trovarsi in uno dei servizi indicati nella sezione “Ambito di applicazione” sopra riportata. Dovete essere il primo ricercatore a segnalare la vulnerabilità in modo responsabile e dovete attenervi alle linee guida sulla segnalazione responsabile stabilite nella presente Politica, che prevedono, tra l’altro, di concederci un lasso di tempo ragionevole per risolvere la vulnerabilità. Confermeremo con Lei il termine ragionevole a seguito della segnalazione della vulnerabilità.
Cosa non costituisce una “vulnerabilità ammissibile”?Sebbene ogni segnalazione venga valutata caso per caso, di seguito è riportato un elenco di alcuni aspetti che non sono considerati vulnerabilità di sicurezza:
- Errori relativi all’interfaccia utente (UI) e all’esperienza utente (UX), nonché errori ortografici;
- Problemi relativi a TLS/SSL;
- Configurazioni SPF, DMARC e DKIM;
- Vulnerabilità dovute a browser o plug-in non aggiornati;
- Politiche di sicurezza dei contenuti (CSP);
- Vulnerabilità nei prodotti a fine ciclo di vita;
- Mancanza di indicatori nei cookie;
- Enumerazione dei nomi utente;
- Vulnerabilità che sfruttano l'esistenza di plug-in quali Flash;
- Vulnerabilità che interessano gli utenti di browser e plug-in non aggiornati;
- Mancano le intestazioni di sicurezza quali, a titolo esemplificativo ma non esaustivo: ", content-type-options", ", X-XSS-Protection";
- Mancanza dei CAPTCHA come meccanismo di protezione della sicurezza;
- Problemi legati alla presenza di un'applicazione dannosa installata sul dispositivo;
- Vulnerabilità che richiedono un dispositivo sottoposto a jailbreak;
- Vulnerabilità che richiedono l'accesso fisico ai dispositivi mobili;
- L'utilizzo di una libreria nota per presentare vulnerabilità senza che ne sia stata dimostrata la sfruttabilità; e/o
- Attacchi di tipo “tap-jacking” e “UI-redressing”, che consistono nell’indurre l’utente a toccare un elemento dell’interfaccia utente;
Funzionalità di blocco dell’account o di limitazione della frequenza; - Funzionalità di blocco dell'account o di limitazione della frequenza;
- Chiavi API visibili nelle pagine (ad es. (Google Maps), a meno che non si possa dimostrare che tale chiave esegua un’operazione con privilegi;
- “Divulgazione del codice sorgente” dei file JavaScript, a meno che non si possa dimostrare che il file in questione sia privato;
- “Fuga di informazioni dal referrer tra domini”, a meno che la stringa del referrer non contenga informazioni riservate o private;
- Attacchi di appropriazione di sottodomini senza prove: un falso positivo comune è smartlinggdn.mimecast.com;
- Iniezioni nell’intestazione Host quando, per sfruttarle, è necessario effettuare un attacco MITM alla connessione oppure quando il valore dell’intestazione non viene riportato nella pagina né utilizzato nell’applicazione;
- Attributi di sicurezza mancanti negli elementi HTML (ad esempio: impostazioni di completamento automatico nei campi di testo);
- La possibilità di incorporare una pagina tramite iFrame/clickjacking;
- Iniezione di codice HTML senza alcun impatto sulla sicurezza;
- Attacchi CSRF che non hanno alcun impatto o che non superano i limiti dei privilegi;
- Eventuali fughe di informazioni o credenziali da parte di terzi che esulano dal controllo di Mimecast (ad esempio Google, Bing, GitHub, Pastebin ecc.);
- In linea di massima, non accettiamo segnalazioni di vulnerabilità di terze parti per le quali non sia stato ancora pubblicato un avviso;
- Vulnerabilità rese note di recente (da meno di 30 giorni);
- Vulnerabilità già segnalate/in fase di risoluzione.
- Qualsiasi prodotto Mimecast che contenga link sensibili relativi alle e-mail e che finiscano in servizi di terze parti a seguito della loro divulgazione, diretta o indiretta, attraverso le interazioni dei clienti.
L’Albo d’onore dei ricercatori di sicurezza di Mimecast
Mimecast desidera esprimere pubblicamente la propria più profonda gratitudine ai seguenti ricercatori nel campo della sicurezza per aver segnalato in modo responsabile le vulnerabilità e per aver collaborato con noi alla loro risoluzione. Mimecast apprezza sinceramente il Suo impegno straordinario.
2015
- Pradeep Kumar - facebook.com/pradeepch99
- Sumit Jain - facebook.com/sumit.cfe
- Jay Patel - facebook.com/jaypatel9717
- Deepak Das - facebook.com/deepak.das.581525
- Shivam Kumar Agarwal - facebook.com/shivamkumar.agarwal.9
- Naveen Sihag - twitter.com/itsnaveensihag
- Rafael Pablos
- Junting Zhu
2016
J. Vogel
Matias P. Brutti
Mike Brown - twitter.com/m8r0wn
Stephen Tomkinson (Simulazione di phishing “Piranha” del Gruppo NCC)
2017
Will Pearce & Nick Landers (Silent Break Security)
Dipu Hasan
Paul Price (Schillings Partners)
Terry Conway (CisCom Solutions)
2018
- Abdul Mateen
- Pritam Singh
- John Lee (City Business Solutions UK Ltd)
- Jeroen W
2019
- Charlie Smith - twitter.com/moopinger
- Patrick Sukop - twitter.com/iKnadt
- Abdelhak Kharroubi
- Francesco Lacerenza - linkedin.com/in/francesco-lacerenza/
- Raphaël (Access42 B.V.)
- Rotimi Akinyele - linkedin.com/in/nigerianpenetrationtester
- Wesley Kirkland - linkedin.com/in/wesleykirkland
2020
- Vaibhav Atkale - twitter.com/atkale_vaibhav
- Swapnil Maurya - twitter.com/swapmaurya20
- Derek Knaub - linkedin.com/in/derek-knaub-97836514
- Sanem Sudheendra
2021
- Naz Markuta - linkedin.com/in/naz-markuta/
- Darren LaCasse - twitter.com/stiltznet
- Ajit Bhatta - twitter.com/callmeajit
- Shreeram Mallick - linkedin.com/in/shreeram-mallick-051b43211
- Rob Lowery - lowery.tech
- Shane King - linkedin.com/in/shane-king-b282a188
- Lo sceicco Rishad
2022
- Patrick Sayler (NetSPI)
- Mayank Gandhi - linkedin.com/in/mayank-gandhi-0163ba216
- Ankur Vaidya
2023
- Elliott Brooks
2024
- Junting Zhu, Chandler Wang & Shuai Yu
2025
- Alvin Mwambi Osano (@Steiner254) - x.com/Steiner254
- Martin Hodgson (Conosco)
- Connor Percival (3B Sicurezza dei dati)
- Cobus Mentz - Woolworths Sudafrica