Home / Segnalazione Bug Bounty

Segnalazione Bug Bounty

Segnalazione Bug Bounty

Bentley si impegna a garantire la sicurezza dei dati dei suoi utenti e la trasparenza in questo ambito. Lo attestano i nostri solidi standard e certificazioni per la privacy e la protezione di dati, la sicurezza e la conformità.

Linee guida del programma Divulgazione responsabile di Bentley Systems

AT Bentley Sistemi, noi prendiamo the Sicurezza dei our sistemi e Prodotti seriamente, diamo valore the Sicurezza community. The divulgazione dei Sicurezza vulnerabilità ci aiuta US garantire la sicurezza e la privacy dei nostri utenti. 

1. Linee guida generiche

Bentley Systems richiede a tutti i ricercatori di

  • Evitare le violazioni della privacy, il peggioramento dell'esperienza utente, l'interruzione dei sistemi di produzione e la distruzione dei dati durante i test di sicurezza.
  • Eseguire le ricerche solo nell'ambito del campo di applicazione indicato di seguito.
  • Utilizzare i canali di comunicazione definiti di seguito per segnalarci le informazioni sulla vulnerabilità.
  • Mantenere riservate le informazioni sulle vulnerabilità scoperte finché tali vulnerabilità non vengono risolte.
Se si seguono queste linee guida nel segnalare un problema, ci impegniamo a
 
  • Non perseguire o sostenere alcuna azione legale relativa alla ricerca effettuata.
  • Offrire la nostra collaborazione per comprendere e risolvere rapidamente il problema.

2. Codice di condotta e responsabilità legali

Quando viene eseguita una ricerca sulla vulnerabilità ai sensi della presente politica, consideriamo tale ricerca come

  • Autorizzata in conformità al Computer Fraud and Abuse Act (CFAA) (o leggi statali simili); pertanto, non avvieremo o sosterremo azioni legali contro il ricercatore per violazioni accidentali e in buona fede della presente politica.
  • Esente dal Digital Millennium Copyright Act (DMCA); pertanto, non avanzeremo alcuna richiesta di risarcimento nei confronti del ricercatore per l'elusione dei controlli tecnologici.
  • Esente da restrizioni nei nostri Termini e condizioni che interferirebbero con l'esecuzione di ricerche sulla sicurezza; pertanto, rinunciamo a tali restrizioni su base limitata per il lavoro svolto nell'ambito della presente politica.
  • Legittima, utile alla sicurezza generale di Internet ed eseguita in buona fede.

Il ricercatore è tenuto, come sempre, a rispettare tutte le leggi vigenti. In caso di dubbi o incertezze circa la conformità della ricerca sulla sicurezza alla presente politica, prima di procedere oltre, inviare una segnalazione attraverso uno dei nostri canali di comunicazione definiti di seguito.

3. Campo di applicazione / Fuori campo di applicazione

Ambito di applicazioneFuori campo di applicazione
  • Tutti i sottodomini _.bentley.com
  • Tutti i prodotti desktop di Bentley Systems (solo CONNECT Edition e versioni successive)
  • Tutte le app mobili di Bentley Systems
  • Tutte le applicazioni e i servizi cloud di Bentley
  • Tutti i progetti open source di Bentley (compreso imodeljs.org)
  • Infrastruttura di Bentley Systems (VPN, Mail Server, SharePoint, Skype, ecc.)
  • Risultati di test fisici, come l'accesso all'ufficio (ad esempio, porte aperte, tailgating)
  • Risultati derivanti principalmente dall'ingegneria sociale (es. phishing, vishing)
  • Risultati di applicazioni o sistemi non elencati nella sezione "Campo di applicazione"
  • Bug di UI e UX ed errori di ortografia
  • Vulnerabilità Denial of Service a livello di rete (DoS/DDoS)
  • Qualsiasi servizio ospitato da fornitori e servizi di terze parti
  • https://www.plaxis.ru
  • https://communities.bentley.com Le segnalazioni delle community devono essere inviate direttamente a Telligent.
  • Le segnalazioni di Accademia SYNCHRO devono essere inviate direttamente a Cypher Learning.
  • https://yii.bentley.com/it

 

4. Vulnerabilità ammissibili / Esclusioni

Vulnerabilità ammissibiliEsclusioni
  • Broken Access Control (Escalation dei privilegi)
  • Problemi di logica aziendale
  • Condivisione di risorse tra le origini (CORS)
  • Falsificazione di richieste tra siti (CSRF)
  • Scripting intersito (XSS)
  • Attraversamento di directory
  • DLL hijacking
  • Injection di collegamenti ipertestuali
  • Identificazione e autenticazione
  • Riferimento a oggetti diretti non sicuri (IDOR)
  • Reindirizzamento aperto
  • Altro
  • Esecuzione di codice remoto
  • Errata configurazione della sicurezza
  • Esposizione di dati sensibili
  • Errata configurazione della sessione
  • Injection SQL
  • Acquisizione di un sottodominio*
  • Problemi di Word-Press
  • Bug rilasciati pubblicamente nel software Internet entro 15 giorni dalla loro divulgazione
  • Tecniche di spam o di ingegneria sociale, compresi i problemi relativi a SPF e DKIM
  • Self-XSS (è richiesta la prova del modo in cui XSS possa essere utilizzato per attaccare un altro utente)
  • Attacchi correlati a X-Frame-Options (clickjacking)
  • Vulnerabilità del limite di velocità (a meno che non venga fornito un exploit PoC valido)
  • Il file XMLRPC.php è abilitato e provoca un attacco DoS
  • Flag dei cookie mancanti sui cookie non sensibili
  • Intestazioni di sicurezza mancanti che non causano direttamente una vulnerabilità (a meno che non si fornisca un PoC)
  • Intestazione (a meno che non sia possibile dimostrare che tali attacchi possono causare un furto di dati dell'utente)
  • Esposizione della versione (a meno che non si fornisca un PoC di exploit funzionante).
  • Problemi non sfruttabili, ma che portano a crash, stack trace e simili problemi di perdita di informazioni o di stabilità.
  • Denial of Service
  • Tutto ciò che sfrutta browser, piattaforme o criptovalute obsoleti (ad es. TLS BEAST, POODLE, ecc.)
  • Qualsiasi minaccia proveniente da una scansione automatizzata, già pubblica o non sotto il controllo di Bentley Systems (ad es. Google Analytics, ecc.)
  • Problemi teorici che mancano di gravità pratica

*Effettuare le segnalazioni solo dopo aver ottenuto un PoC sotto forma di due screenshot con timestamp e un sottodominio. Tali screenshot devono dimostrare che il sottodominio è stato libero per almeno un'ora. Gli strumenti di scansione spesso catturano il breve periodo di tempo in cui vengono eseguite le modifiche al sottodominio, cosa che può sembrare una vulnerabilità ma non lo è: il record DNS viene eliminato poco dopo. L'invio degli screenshot eviterà la segnalazione di false vulnerabilità, evitando perdite di tempo sia al ricercatore che al nostro team.

Le segnalazioni con un PoC parziale (una prova con un solo timestamp o nessun timestamp) non saranno trattate come Prima segnalazione.

Nota bene! È vietata l'acquisizione del sottodominio segnalato come PoC.

 

5. Come effettuare la segnalazione

Se si ritiene di aver trovato una vulnerabilità della sicurezza in uno dei nostri prodotti o piattaforme, compilare il modulo in questa pagina.

Assicurarsi di aver incluso le seguenti informazioni:

  • Descrizione dettagliata della vulnerabilità contenente informazioni quali URL, richiesta/risposta HTTP completa e tipo di vulnerabilità.
  • Informazioni necessarie per riprodurre il problema.
  • Se applicabile, uno screenshot e/o un video della vulnerabilità.
  • Informazioni di contatto, nome, e-mail, numero di telefono, località. Le segnalazioni prive di queste informazioni non saranno prese in considerazione.
  • NOTA IMPORTANTE. È possibile effettuare la segnalazione iniziale solo attraverso il modulo. Per eventuali domande non menzionate nel modulo, inviare un'e-mail all'indirizzo security@bentley.com.

6. Regolamento

  • Il DoS è severamente vietato.
  • È severamente vietata qualsiasi forma di applicazione di forza bruta alle credenziali.
  • È vietata la divulgazione pubblica di una vulnerabilità segnalata prima che sia stata risolta.
  • Non è consentito danneggiare o degradare le prestazioni dei nostri sistemi o violare la privacy dei nostri utenti o l'integrità dei loro dati.
  • Lo sfruttamento delle vulnerabilità (diverso da un PoC generico) è severamente vietato e sarà perseguito secondo le leggi vigenti.
  • Se una vulnerabilità consente l'accesso ai dati in modo non intenzionale, è necessario
    • Limitare la quantità di dati a cui si accede al minimo necessario per dimostrare efficacemente una prova di fattibilità;
    • Interrompere i test e
    • Inoltrare immediatamente una segnalazione se durante i test vengono rilevati dati dell'utente, come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dati di carte di credito o informazioni proprietarie.
  • Bentley non risponderà a tentativi di estorsione o altri atti coercitivi e criminali (ad esempio, richieste di pagamento anticipato in cambio del mancato sfruttamento di una vulnerabilità rilevata.

7. Divulgazione pubblica

A meno che il nostro team non comunichi che la vulnerabilità è stata risolta, si invita a non divulgare pubblicamente la vulnerabilità per 90 giorni. In caso contrario, verrà avviata un'azione legale.

8. Duplicati

Ai sensi della presente politica, verrà preso in considerazione solo il primo ricercatore che segnala un problema o problemi simili. Ciò include le segnalazioni dello stesso problema in ambienti diversi (ad esempio, dev-, qa-, prod-).

9. Classificazione delle vulnerabilità

Una volta ricevuta la segnalazione:

  • La vulnerabilità segnalata verrà analizzata.
  • Se riteniamo che la segnalazione sia valida e soddisfi i requisiti della presente politica, si riceverà una retribuzione.
  • Si verrà informati quando il problema sarà risolto.

10. Retribuzione

Esempi di vulnerabilitàFascia di prezzo (USD)**
Broken Access Control (Escalation dei privilegi)250-450
Problemi di logica aziendale100-300
Condivisione di risorse tra le origini (CORS)100-200
Falsificazione di richieste tra siti (CSRF)150-250
Scripting intersito (XSS)100-200
DLL hijacking50
Injection di collegamenti ipertestuali50
Identificazione e autenticazione250-450
Riferimento a oggetti diretti non sicuri (IDOR)250-450
Reindirizzamento aperto50-150
Altro0-500
Esecuzione di codice remoto600
Errata configurazione della sicurezza50-250
Esposizione di dati sensibili50-200
Secrets leak200-500
Errata configurazione della sessione50-200
Injection SQL250-500
 
Le segnalazioni di vulnerabilità da parte degli utenti di Bentley Systems saranno prese in considerazione; tuttavia, gli utenti non hanno diritto a ricompense finanziarie secondo le regole del programma di divulgazione responsabile.

Anche i rapporti inviati da entità commerciali o da individui che conducono test di sicurezza formali/commerciali per conto degli utenti di Bentley Systems non si qualificano per i premi finanziari.

**Si noti che eventuali istanze multiple dello stesso problema saranno retribuite solo fino a un massimo di 3 volte il prezzo.

**Le segnalazioni di un problema in ambienti diversi del prodotto (dev-, qa-, prod-) saranno conteggiate una sola volta.

Ci riserviamo il diritto di modificare la presente politica in qualsiasi momento e per qualsiasi motivo e non possiamo garantire la retribuzione per tutte le segnalazioni. La retribuzione è prevista solo tramite PayPal. 

IMPORTANTE. Assicurarsi di inviare un solo indirizzo PayPal valido: non prenderemo in considerazione indirizzi diversi da quello originale per il pagamento. In caso di esito negativo della transazione per qualsiasi motivo (ad esempio, PayPal rifiuta la transazione; la banca ricevente non accetta il pagamento; è stato raggiunto il limite massimo dell'importo; l'accettazione dei pagamenti avviene solo attraverso il sito web o altre istruzioni, ecc.), il pagamento sarà annullato e non verrà inviato nuovamente.

Bentley Systems si riserva il diritto di ritirare il programma Divulgazione responsabile e il relativo sistema di retribuzione in qualsiasi momento e senza preavviso.

Invia una segnalazione

Indice dei contenuti

Bentley Systems richiede a tutti i ricercatori di

  • Evitare le violazioni della privacy, il peggioramento dell'esperienza utente, l'interruzione dei sistemi di produzione e la distruzione dei dati durante i test di sicurezza.
  • Eseguire le ricerche solo nell'ambito del campo di applicazione indicato di seguito.
  • Utilizzare i canali di comunicazione definiti di seguito per segnalarci le informazioni sulla vulnerabilità.
  • Mantenere riservate le informazioni sulle vulnerabilità scoperte finché tali vulnerabilità non vengono risolte.
Se si seguono queste linee guida nel segnalare un problema, ci impegniamo a
 
  • Non perseguire o sostenere alcuna azione legale relativa alla ricerca effettuata.
  • Offrire la nostra collaborazione per comprendere e risolvere rapidamente il problema.

Quando viene eseguita una ricerca sulla vulnerabilità ai sensi della presente politica, consideriamo tale ricerca come

  • Autorizzata in conformità al Computer Fraud and Abuse Act (CFAA) (o leggi statali simili); pertanto, non avvieremo o sosterremo azioni legali contro il ricercatore per violazioni accidentali e in buona fede della presente politica.
  • Esente dal Digital Millennium Copyright Act (DMCA); pertanto, non avanzeremo alcuna richiesta di risarcimento nei confronti del ricercatore per l'elusione dei controlli tecnologici.
  • Esente da restrizioni nei nostri Termini e condizioni che interferirebbero con l'esecuzione di ricerche sulla sicurezza; pertanto, rinunciamo a tali restrizioni su base limitata per il lavoro svolto nell'ambito della presente politica.
  • Legittima, utile alla sicurezza generale di Internet ed eseguita in buona fede.

Il ricercatore è tenuto, come sempre, a rispettare tutte le leggi vigenti. In caso di dubbi o incertezze circa la conformità della ricerca sulla sicurezza alla presente politica, prima di procedere oltre, inviare una segnalazione attraverso uno dei nostri canali di comunicazione definiti di seguito.

Ambito di applicazione
  • Tutti i sottodomini _.bentley.com
  • Tutti i prodotti desktop di Bentley Systems (solo CONNECT Edition e versioni successive)
  • Tutte le app mobili di Bentley Systems
  • Tutte le applicazioni e i servizi cloud di Bentley
  • Tutti i progetti open source di Bentley (compreso imodeljs.org)
Fuori campo di applicazione
Vulnerabilità ammissibili
  • Broken Access Control (Escalation dei privilegi)
  • Problemi di logica aziendale
  • Condivisione di risorse tra le origini (CORS)
  • Falsificazione di richieste tra siti (CSRF)
  • Scripting intersito (XSS)
  • Attraversamento di directory
  • DLL hijacking
  • Injection di collegamenti ipertestuali
  • Identificazione e autenticazione
  • Riferimento a oggetti diretti non sicuri (IDOR)
  • Reindirizzamento aperto
  • Altro
  • Esecuzione di codice remoto
  • Errata configurazione della sicurezza
  • Esposizione di dati sensibili
  • Errata configurazione della sessione
  • Injection SQL
  • Acquisizione di un sottodominio*
  • Problemi di Word-Press
Esclusioni
  • Bug rilasciati pubblicamente nel software Internet entro 15 giorni dalla loro divulgazione
  • Tecniche di spam o di ingegneria sociale, compresi i problemi relativi a SPF e DKIM
  • Self-XSS (è richiesta la prova del modo in cui XSS possa essere utilizzato per attaccare un altro utente)
  • Attacchi correlati a X-Frame-Options (clickjacking)
  • Vulnerabilità del limite di velocità (a meno che non venga fornito un exploit PoC valido)
  • Il file XMLRPC.php è abilitato e provoca un attacco DoS
  • Flag dei cookie mancanti sui cookie non sensibili
  • Intestazioni di sicurezza mancanti che non causano direttamente una vulnerabilità (a meno che non si fornisca un PoC)
  • Injection di intestazioni (a meno che non sia possibile dimostrare che tali attacchi possono causare un furto di dati dell'utente)
  • Esposizione della versione (a meno che non si fornisca un PoC di exploit funzionante).
  • Problemi non sfruttabili, ma che portano a crash, stack trace e simili problemi di perdita di informazioni o di stabilità.
  • Denial of Service
  • Tutto ciò che sfrutta browser, piattaforme o criptovalute obsoleti (ad es. TLS BEAST, POODLE, ecc.)
  • Qualsiasi minaccia proveniente da una scansione automatizzata, già pubblica o non sotto il controllo di Bentley Systems (ad es. Google Analytics, ecc.)
  • Problemi teorici che mancano di gravità pratica

*Effettuare le segnalazioni solo dopo aver ottenuto un PoC sotto forma di due screenshot con timestamp e un sottodominio. Tali screenshot devono dimostrare che il sottodominio è stato libero per almeno un'ora. Gli strumenti di scansione spesso catturano il breve periodo di tempo in cui vengono eseguite le modifiche al sottodominio, cosa che può sembrare una vulnerabilità ma non lo è: il record DNS viene eliminato poco dopo. L'invio degli screenshot eviterà la segnalazione di false vulnerabilità, evitando perdite di tempo sia al ricercatore che al nostro team.

Le segnalazioni con un PoC parziale (una prova con un solo timestamp o nessun timestamp) non saranno trattate come Prima segnalazione.

Nota bene! È vietata l'acquisizione del sottodominio segnalato come PoC.

Se si ritiene di aver trovato una vulnerabilità della sicurezza in uno dei nostri prodotti o piattaforme, compilare il modulo in questa pagina.

Assicurarsi di aver incluso le seguenti informazioni:

  • Descrizione dettagliata della vulnerabilità contenente informazioni quali URL, richiesta/risposta HTTP completa e tipo di vulnerabilità.
  • Informazioni necessarie per riprodurre il problema.
  • Se applicabile, uno screenshot e/o un video della vulnerabilità.
  • Informazioni di contatto, nome, e-mail, numero di telefono, località. Le segnalazioni prive di queste informazioni non saranno prese in considerazione.
  • NOTA IMPORTANTE. È possibile effettuare la segnalazione iniziale solo attraverso il modulo. Per eventuali domande non menzionate nel modulo, inviare un'e-mail all'indirizzo security@bentley.com.
  • Il DoS è severamente vietato.
  • È severamente vietata qualsiasi forma di applicazione di forza bruta alle credenziali.
  • È vietata la divulgazione pubblica di una vulnerabilità segnalata prima che sia stata risolta.
  • Non è consentito danneggiare o degradare le prestazioni dei nostri sistemi o violare la privacy dei nostri utenti o l'integrità dei loro dati.
  • Lo sfruttamento delle vulnerabilità (diverso da un PoC generico) è severamente vietato e sarà perseguito secondo le leggi vigenti.
  • Se una vulnerabilità consente l'accesso ai dati in modo non intenzionale, è necessario
    • Limitare la quantità di dati a cui si accede al minimo necessario per dimostrare efficacemente una prova di fattibilità;
    • Interrompere i test e
    • Inoltrare immediatamente una segnalazione se durante i test vengono rilevati dati dell'utente, come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dati di carte di credito o informazioni proprietarie.
  • Bentley non risponderà a tentativi di estorsione o altri atti coercitivi e criminali (ad esempio, richieste di pagamento anticipato in cambio del mancato sfruttamento di una vulnerabilità rilevata.

A meno che il nostro team non comunichi che la vulnerabilità è stata risolta, si invita a non divulgare pubblicamente la vulnerabilità per 90 giorni. In caso contrario, verrà avviata un'azione legale.

Ai sensi della presente politica, verrà preso in considerazione solo il primo ricercatore che segnala un problema o problemi simili. Ciò include le segnalazioni dello stesso problema in ambienti diversi (ad esempio, dev-, qa-, prod-).

Una volta ricevuta la segnalazione:

  • La vulnerabilità segnalata verrà analizzata.
  • Se riteniamo che la segnalazione sia valida e soddisfi i requisiti della presente politica, si riceverà una retribuzione.
  • Si verrà informati quando il problema sarà risolto.
Esempi di vulnerabilità Fascia di prezzo (USD)**
Broken Access Control (Escalation dei privilegi) 200-400
Problemi di logica aziendale 100-300
Condivisione di risorse tra le origini (CORS) 100-200
Falsificazione di richieste tra siti (CSRF) 100-200
Scripting intersito (XSS) 50-150
Attraversamento di directory 100-200
DLL hijacking 100-200
Injection di collegamenti ipertestuali 50
Identificazione e autenticazione 200-400
Riferimento a oggetti diretti non sicuri (IDOR) 200-400
Reindirizzamento aperto 50-150
Altro 0-500
Esecuzione di codice remoto 500
Errata configurazione della sicurezza 50-200
Esposizione di dati sensibili 50-500
Errata configurazione della sessione 50-150
Injection SQL 200-400
**Si noti che eventuali istanze multiple dello stesso problema saranno retribuite solo fino a un massimo di 3 volte il prezzo.

**Le segnalazioni di un problema in ambienti diversi del prodotto (dev-, qa-, prod-) saranno conteggiate una sola volta.

Ci riserviamo il diritto di modificare la presente politica in qualsiasi momento e per qualsiasi motivo e non possiamo garantire la retribuzione per tutte le segnalazioni. La retribuzione è prevista solo tramite PayPal. 

IMPORTANTE. Assicurarsi di inviare un solo indirizzo PayPal valido: non prenderemo in considerazione indirizzi diversi da quello originale per il pagamento. In caso di esito negativo della transazione per qualsiasi motivo (ad esempio, PayPal rifiuta la transazione; la banca ricevente non accetta il pagamento; è stato raggiunto il limite massimo dell'importo; l'accettazione dei pagamenti avviene solo attraverso il sito web o altre istruzioni, ecc.), il pagamento sarà annullato e non verrà inviato nuovamente.

Bentley Systems si riserva il diritto di ritirare il programma Divulgazione responsabile e il relativo sistema di retribuzione in qualsiasi momento e senza preavviso.