Segnalazione Bug Bounty
Bentley si impegna a garantire la sicurezza dei dati dei suoi utenti e la trasparenza in questo ambito. Lo attestano i nostri solidi standard e certificazioni per la privacy e la protezione di dati, la sicurezza e la conformità.
Linee guida del programma Divulgazione responsabile di Bentley Systems
At Bentley Systems, we take the security of our systems and products seriously, and we value the security community. The disclosure of security vulnerabilities helps us ensure the security and privacy of our users.
1. Linee guida generiche
Bentley Systems richiede a tutti i ricercatori di
- Evitare le violazioni della privacy, il peggioramento dell'esperienza utente, l'interruzione dei sistemi di produzione e la distruzione dei dati durante i test di sicurezza.
- Eseguire le ricerche solo nell'ambito del campo di applicazione indicato di seguito.
- Utilizzare i canali di comunicazione definiti di seguito per segnalarci le informazioni sulla vulnerabilità.
- Mantenere riservate le informazioni sulle vulnerabilità scoperte finché tali vulnerabilità non vengono risolte.
- Non perseguire o sostenere alcuna azione legale relativa alla ricerca effettuata.
- Offrire la nostra collaborazione per comprendere e risolvere rapidamente il problema.
2. Codice di condotta e responsabilità legali
Quando viene eseguita una ricerca sulla vulnerabilità ai sensi della presente politica, consideriamo tale ricerca come
- Autorizzata in conformità al Computer Fraud and Abuse Act (CFAA) (o leggi statali simili); pertanto, non avvieremo o sosterremo azioni legali contro il ricercatore per violazioni accidentali e in buona fede della presente politica.
- Esente dal Digital Millennium Copyright Act (DMCA); pertanto, non avanzeremo alcuna richiesta di risarcimento nei confronti del ricercatore per l'elusione dei controlli tecnologici.
- Esente da restrizioni nei nostri Termini e condizioni che interferirebbero con l'esecuzione di ricerche sulla sicurezza; pertanto, rinunciamo a tali restrizioni su base limitata per il lavoro svolto nell'ambito della presente politica.
- Legittima, utile alla sicurezza generale di Internet ed eseguita in buona fede.
Il ricercatore è tenuto, come sempre, a rispettare tutte le leggi vigenti. In caso di dubbi o incertezze circa la conformità della ricerca sulla sicurezza alla presente politica, prima di procedere oltre, inviare una segnalazione attraverso uno dei nostri canali di comunicazione definiti di seguito.
3. Campo di applicazione / Fuori campo di applicazione
Ambito di applicazione | Fuori campo di applicazione |
---|---|
|
|
4. Vulnerabilità ammissibili / Esclusioni
Vulnerabilità ammissibili | Esclusioni |
---|---|
|
|
*Effettuare le segnalazioni solo dopo aver ottenuto un PoC sotto forma di due screenshot con timestamp e un sottodominio. Tali screenshot devono dimostrare che il sottodominio è stato libero per almeno un'ora. Gli strumenti di scansione spesso catturano il breve periodo di tempo in cui vengono eseguite le modifiche al sottodominio, cosa che può sembrare una vulnerabilità ma non lo è: il record DNS viene eliminato poco dopo. L'invio degli screenshot eviterà la segnalazione di false vulnerabilità, evitando perdite di tempo sia al ricercatore che al nostro team.
Le segnalazioni con un PoC parziale (una prova con un solo timestamp o nessun timestamp) non saranno trattate come Prima segnalazione.
Nota bene! È vietata l'acquisizione del sottodominio segnalato come PoC.
5. Come effettuare la segnalazione
Se si ritiene di aver trovato una vulnerabilità della sicurezza in uno dei nostri prodotti o piattaforme, compilare il modulo in questa pagina.
A good practice is to think whether the discovered vulnerability puts at risk:
- Bentley Systems clients’ information.
- Bentley Systems software.
- Bentley Systems reputation.
Assicurarsi di aver incluso le seguenti informazioni:
- Descrizione dettagliata della vulnerabilità contenente informazioni quali URL, richiesta/risposta HTTP completa e tipo di vulnerabilità.
- Information necessary to reproduce the issue.
- Proof of concept including practical severity and attack scenario, indication of a potential risk only is hard to evaluate and usually such report is not approved.
- If applicable, a screenshot and/or video of the vulnerability.
- Informazioni di contatto, nome, e-mail, numero di telefono, località. Le segnalazioni prive di queste informazioni non saranno prese in considerazione.
- IMPORTANT NOTE. You may only make the initial submission through the form. If you have any questions not mentioned in a form, please e-mail us at security@bentley.com.
6. Regolamento
- Il DoS è severamente vietato.
- È severamente vietata qualsiasi forma di applicazione di forza bruta alle credenziali.
- È vietata la divulgazione pubblica di una vulnerabilità segnalata prima che sia stata risolta.
- Non è consentito danneggiare o degradare le prestazioni dei nostri sistemi o violare la privacy dei nostri utenti o l'integrità dei loro dati.
- Lo sfruttamento delle vulnerabilità (diverso da un PoC generico) è severamente vietato e sarà perseguito secondo le leggi vigenti.
- Se una vulnerabilità consente l'accesso ai dati in modo non intenzionale, è necessario
- Limitare la quantità di dati a cui si accede al minimo necessario per dimostrare efficacemente una prova di fattibilità;
- Interrompere i test e
- Inoltrare immediatamente una segnalazione se durante i test vengono rilevati dati dell'utente, come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dati di carte di credito o informazioni proprietarie.
- Bentley non risponderà a tentativi di estorsione o altri atti coercitivi e criminali (ad esempio, richieste di pagamento anticipato in cambio del mancato sfruttamento di una vulnerabilità rilevata.
7. Divulgazione pubblica
A meno che il nostro team non comunichi che la vulnerabilità è stata risolta, si invita a non divulgare pubblicamente la vulnerabilità per 90 giorni. In caso contrario, verrà avviata un'azione legale.
8. Duplicati
- Only the first researcher to report an issue will be entitled for a reward.
- The reports of the same issue in different environments are not rewarded and closed as duplicates. (e.g. dev-*-bentley.com, qa- dev-*-bentley.com, prod- dev-*-bentley.com)
- The reports of the same issue in different deployment regions are not rewarded and closed as duplicates. (e.g. *.us.bentley.com, *.eus-bentley.com, *.in.-*-bentley.com)
- Multiple instances of the same issue will only be compensated to a max of 3x the reward sum. (e.g. expires SSL certificate on 25 domain and subdomains will count 3×100 USD, and not 25×100 USD)
9. Classificazione delle vulnerabilità
- La vulnerabilità segnalata verrà analizzata.
- You will be informed if the issue is closed without a reward. We do not send a detailed explanation of the resolution.
- If we determine the submission is valid and meets the requirements of this policy, you may receive a reward after the fix is implemented. Our commitment is to reward your efforts within 90 days.
10. Retribuzione
Esempi di vulnerabilità | Fascia di prezzo (USD)** |
---|---|
Broken Access Control (Escalation dei privilegi) | 250-450 |
Problemi di logica aziendale | 100-300 |
Condivisione di risorse tra le origini (CORS) | 100-200 |
Falsificazione di richieste tra siti (CSRF) | 150-250 |
Scripting intersito (XSS) | 100-200 |
DLL hijacking | 50 |
Injection di collegamenti ipertestuali | 50 |
Identificazione e autenticazione | 250-450 |
Riferimento a oggetti diretti non sicuri (IDOR) | 250-450 |
Reindirizzamento aperto | 50-150 |
Altro | 0-500 |
Esecuzione di codice remoto | 600 |
Errata configurazione della sicurezza | 50-250 |
Esposizione di dati sensibili | 50-200 |
Secrets leak | 200-500 |
Errata configurazione della sessione | 50-200 |
Injection SQL | 250-500 |
NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following:
- report was submitted by current of former employee of Bentley Systems
- report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
- report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
- report was submitted by the employee of the company that is a Bentley System’s service provider.
- report was submitted by an individual residing in a country that is currently subject to international sanctions.
- Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.
**Si noti che eventuali istanze multiple dello stesso problema saranno retribuite solo fino a un massimo di 3 volte il prezzo.
**Le segnalazioni di un problema in ambienti diversi del prodotto (dev-, qa-, prod-) saranno conteggiate una sola volta.
Ci riserviamo il diritto di modificare la presente politica in qualsiasi momento e per qualsiasi motivo e non possiamo garantire la retribuzione per tutte le segnalazioni. La retribuzione è prevista solo tramite PayPal.
IMPORTANTE. Assicurarsi di inviare un solo indirizzo PayPal valido: non prenderemo in considerazione indirizzi diversi da quello originale per il pagamento. In caso di esito negativo della transazione per qualsiasi motivo (ad esempio, PayPal rifiuta la transazione; la banca ricevente non accetta il pagamento; è stato raggiunto il limite massimo dell'importo; l'accettazione dei pagamenti avviene solo attraverso il sito web o altre istruzioni, ecc.), il pagamento sarà annullato e non verrà inviato nuovamente.
Bentley Systems si riserva il diritto di ritirare il programma Divulgazione responsabile e il relativo sistema di retribuzione in qualsiasi momento e senza preavviso.
Invia una segnalazione
Indice dei contenuti
Bentley Systems richiede a tutti i ricercatori di
- Evitare le violazioni della privacy, il peggioramento dell'esperienza utente, l'interruzione dei sistemi di produzione e la distruzione dei dati durante i test di sicurezza.
- Eseguire le ricerche solo nell'ambito del campo di applicazione indicato di seguito.
- Utilizzare i canali di comunicazione definiti di seguito per segnalarci le informazioni sulla vulnerabilità.
- Mantenere riservate le informazioni sulle vulnerabilità scoperte finché tali vulnerabilità non vengono risolte.
- Non perseguire o sostenere alcuna azione legale relativa alla ricerca effettuata.
- Offrire la nostra collaborazione per comprendere e risolvere rapidamente il problema.
Quando viene eseguita una ricerca sulla vulnerabilità ai sensi della presente politica, consideriamo tale ricerca come
- Autorizzata in conformità al Computer Fraud and Abuse Act (CFAA) (o leggi statali simili); pertanto, non avvieremo o sosterremo azioni legali contro il ricercatore per violazioni accidentali e in buona fede della presente politica.
- Esente dal Digital Millennium Copyright Act (DMCA); pertanto, non avanzeremo alcuna richiesta di risarcimento nei confronti del ricercatore per l'elusione dei controlli tecnologici.
- Esente da restrizioni nei nostri Termini e condizioni che interferirebbero con l'esecuzione di ricerche sulla sicurezza; pertanto, rinunciamo a tali restrizioni su base limitata per il lavoro svolto nell'ambito della presente politica.
- Legittima, utile alla sicurezza generale di Internet ed eseguita in buona fede.
Il ricercatore è tenuto, come sempre, a rispettare tutte le leggi vigenti. In caso di dubbi o incertezze circa la conformità della ricerca sulla sicurezza alla presente politica, prima di procedere oltre, inviare una segnalazione attraverso uno dei nostri canali di comunicazione definiti di seguito.
Ambito di applicazione |
---|
|
Fuori campo di applicazione |
|
Vulnerabilità ammissibili |
---|
|
Esclusioni |
|
Se si ritiene di aver trovato una vulnerabilità della sicurezza in uno dei nostri prodotti o piattaforme, compilare il modulo in questa pagina.
Assicurarsi di aver incluso le seguenti informazioni:
- Descrizione dettagliata della vulnerabilità contenente informazioni quali URL, richiesta/risposta HTTP completa e tipo di vulnerabilità.
- Informazioni necessarie per riprodurre il problema.
- Se applicabile, uno screenshot e/o un video della vulnerabilità.
- Informazioni di contatto, nome, e-mail, numero di telefono, località. Le segnalazioni prive di queste informazioni non saranno prese in considerazione.
- NOTA IMPORTANTE. È possibile effettuare la segnalazione iniziale solo attraverso il modulo. Per eventuali domande non menzionate nel modulo, inviare un'e-mail all'indirizzo security@bentley.com.
- Il DoS è severamente vietato.
- È severamente vietata qualsiasi forma di applicazione di forza bruta alle credenziali.
- È vietata la divulgazione pubblica di una vulnerabilità segnalata prima che sia stata risolta.
- Non è consentito danneggiare o degradare le prestazioni dei nostri sistemi o violare la privacy dei nostri utenti o l'integrità dei loro dati.
- Lo sfruttamento delle vulnerabilità (diverso da un PoC generico) è severamente vietato e sarà perseguito secondo le leggi vigenti.
- Se una vulnerabilità consente l'accesso ai dati in modo non intenzionale, è necessario
- Limitare la quantità di dati a cui si accede al minimo necessario per dimostrare efficacemente una prova di fattibilità;
- Interrompere i test e
- Inoltrare immediatamente una segnalazione se durante i test vengono rilevati dati dell'utente, come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dati di carte di credito o informazioni proprietarie.
- Bentley non risponderà a tentativi di estorsione o altri atti coercitivi e criminali (ad esempio, richieste di pagamento anticipato in cambio del mancato sfruttamento di una vulnerabilità rilevata.
A meno che il nostro team non comunichi che la vulnerabilità è stata risolta, si invita a non divulgare pubblicamente la vulnerabilità per 90 giorni. In caso contrario, verrà avviata un'azione legale.
Ai sensi della presente politica, verrà preso in considerazione solo il primo ricercatore che segnala un problema o problemi simili. Ciò include le segnalazioni dello stesso problema in ambienti diversi (ad esempio, dev-, qa-, prod-).
Una volta ricevuta la segnalazione:
- La vulnerabilità segnalata verrà analizzata.
- Se riteniamo che la segnalazione sia valida e soddisfi i requisiti della presente politica, si riceverà una retribuzione.
- Si verrà informati quando il problema sarà risolto.
Esempi di vulnerabilità | Fascia di prezzo (USD)** |
---|---|
Broken Access Control (Escalation dei privilegi) | 200-400 |
Problemi di logica aziendale | 100-300 |
Condivisione di risorse tra le origini (CORS) | 100-200 |
Falsificazione di richieste tra siti (CSRF) | 100-200 |
Scripting intersito (XSS) | 50-150 |
Attraversamento di directory | 100-200 |
DLL hijacking | 100-200 |
Injection di collegamenti ipertestuali | 50 |
Identificazione e autenticazione | 200-400 |
Riferimento a oggetti diretti non sicuri (IDOR) | 200-400 |
Reindirizzamento aperto | 50-150 |
Altro | 0-500 |
Esecuzione di codice remoto | 500 |
Errata configurazione della sicurezza | 50-200 |
Esposizione di dati sensibili | 50-500 |
Errata configurazione della sessione | 50-150 |
Injection SQL | 200-400 |