Segnalazione responsabile

• È fondamentale agire in buona fede, evitando qualsiasi violazione della privacy o interruzione dei nostri servizi. Questo include accessi non autorizzati, distruzione di dati o degradazione dei servizi. È necessario rispettare tutte le leggi e normative applicabili, in particolare quelle che vietano l’accesso non autorizzato ai dati.
• Se scopri una vulnerabilità, utilizzala solo a fini dimostrativi e mai al di fuori del tuo account personale o senza il consenso esplicito e scritto del titolare dell'account coinvolto. È inoltre necessario considerare attentamente i rischi aggiuntivi che la vulnerabilità potrebbe comportare, come il potenziale compromesso di dati aziendali sensibili o di account di altri utenti.
• Evita scansioni automatizzate.
• Non testare la sicurezza fisica delle sedi, del personale e dei dispositivi di Trustly.
• Non è consentito l’uso di tecniche di social engineering (phishing, vishing, ecc.).
• Non effettuare attacchi DoS o DDoS.
• Non divulgare le vulnerabilità senza l’autorizzazione esplicita di Trustly.
• Manteniamo un elenco dei ricercatori che hanno inviato segnalazioni valide. L’inclusione è facoltativa. Ci riserviamo il diritto di limitare le informazioni associate al tuo nome.

Siamo interessati esclusivamente a vulnerabilità riscontrate su domini o indirizzi IP di proprietà di Trustly Group AB o Trustly Inc. Ti invitiamo a verificare i registri WHOIS per accertarti che siano effettivamente di nostra proprietà.

Le seguenti tipologie di vulnerabilita' sono sempre escluse (elenco non esaustivo):

• Pagine di errore HTTP come 404
• Banner footprinting su servizi pubblici
• File noti come robots.txt
• Clickjacking
• CSRF su form accessibili senza autenticazione
• Logout-CSRF
• Autocompletamento o salvataggio automatico delle password
• Cookie non sensibili senza flag secure/HTTP-only
• Metodo HTTP OPTIONS abilitato
• Enumerazione di email trustly.com
• Header HTTP mancanti come:
• a. Strict-Transport-Security
  b. X-Frame-Options
  c. X-XSS-Protection
  d. X-Content-Type-Options
  e. Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
  f. Content-Security-Policy-Report-Only
• Problemi TLS/SSL come BEAST, BREACH, suite di cifratura deboli, ecc.
• Spoofing dei contenuti o text injection senza impatto HTML/CSS
• Politiche deboli per le password
• Configurazioni errate per DMARC, SPF, DKIM
• Questa lista non è esaustiva.