Contribuire

Panoramica

La verifica da parte di esperti indipendenti consente di identificare le vulnerabilità e di migliorare il sistema di voto elettronico.

Di seguito sono riportate alcune cifre relative alle segnalazioni pervenute alla Posta dall’avvio del programma di community a inizio 2021. I risultati confermati vengono categorizzati in base al loro livello di gravità.

Segnalazioni totali 171
Risultati livello di gravità «critico» 0
Risultati livello di gravità «elevato» 4
Totale ricompense corrisposte € 115 750

Questi dati vengono aggiornati regolarmente (stato al 14.09.2022).

Trovate una panoramica di tutte le segnalazioni su GitLab.Target not accessible

Partecipate al test di intrusione pubblico

Dall’8 agosto al 2 settembre hacker etici potranno mettere alla prova l’infrastruttura del sistema di voto elettronico. Le vulnerabilità individuate saranno ricompensate.

Partecipare ora

Ecco come potete contribuire

  • Vi invitiamo a inoltrare i vostri risultati preferibilmente su GitLabTarget not accessible, dove avrete una panoramica dei diversi riscontri e potrete confrontarvi con il nostro team Voto elettronico e con la community.
  • In alternativa potete trasmetterci il vostro riscontro inviando un’e-mail cifrata (IncaMail) oppure tramite modulo online.
  • La Posta premia le persone che segnalano vulnerabilità confermate nel quadro del programma bug bounty. Per i risultati confermati che avete inoltrato tramite GitLab, IncaMail o modulo online, potete richiedere successivamente una ricompensa, registrando il vostro risultato sulla piattaforma bug bounty o direttamente su YesWeHack.
  • Vi preghiamo di leggere il Code of Conduct prima di inviarci un riscontro.

Ecco come verifichiamo le segnalazioni

Le segnalazioni vengono analizzate in dettaglio dai nostri specialisti e ci aiutano a migliorare il sistema di voto elettronico. Ci adoperiamo per esaminare rapidamente ogni risultato e inviare una risposta in merito.

Di seguito è descritto il processo di comunicazione di un risultato.

  • Controlliamo che le comunicazioni siano complete e, se necessario, chiediamo ulteriori chiarimenti e informazioni.
  • Successivamente generiamo un ticket che viene analizzato dal nostro specialista di competenza.
  • La persona che ha comunicato il risultato riceve una notifica di elaborazione.
  • Appena terminiamo l’analisi e siamo in grado di confermare un risultato, quest’ultimo viene classificato come «risultato confermato» e pubblicato su GitLab.
  • Per tutte le segnalazioni classificate come «elevate» o «critiche», nel messaggio deve essere selezionato il campo «confidenziale». Tali segnalazioni vengono trattate come riservate. In questi casi vale la «Coordinated Vulnerability Disclosure».
  • Ogni mittente può inoltre decidere se, a prescindere dalla gravità del caso, inviare la propria comunicazione alla Posta in modo riservato.

Vi ricordiamo di rispettare il nostro Code of Conduct.

Programma CVE

La Posta sostiene le Common Vulnerabilities and Exposures (CVE). Incoraggiamo a segnalarci vulnerabilità critiche confermate registrando una CVE e forniamo la nostra assistenza tecnica.

Come ricompensiamo i rapporti

La Posta ricompensa esclusivamente i risultati confermati. Le nostre ricompense variano da 100 a 230’000 euro a seconda della criticità della vulnerabilità. Su YesWeHackTarget not accessible è disponibile una tabella dettagliata delle ricompense.

Per avere diritto a una ricompensa occorre iscriversi e identificarsi su YesWeHackTarget not accessible.