Contribuire

Panoramica

La verifica da parte di esperti indipendenti consente di identificare le vulnerabilità e di migliorare il sistema di voto elettronico.

Di seguito sono riportate alcune cifre relative alle segnalazioni pervenute alla Posta dall’avvio del programma di community a inizio 2021. I risultati confermati vengono categorizzati in base al loro livello di gravità.

Segnalazioni totali 138
Risultati livello di gravità «critico» 0
Risultati livello di gravità «elevato» 4
Totale ricompense corrisposte € 102 500

Questi dati vengono aggiornati regolarmente (stato al 11.05.2022).

Trovate una panoramica di tutte le segnalazioni su GitLab.Target not accessible

Ecco come potete contribuire

  • Vi invitiamo a inoltrare i vostri risultati preferibilmente su GitLabTarget not accessible, dove avrete una panoramica dei diversi riscontri e potrete confrontarvi con il nostro team Voto elettronico e con la community.
  • In alternativa potete trasmetterci il vostro riscontro inviando un’e-mail cifrata (IncaMail) oppure tramite modulo online.
  • La Posta premia le persone che segnalano vulnerabilità confermate nel quadro del programma bug bounty. Per i risultati confermati che avete inoltrato tramite GitLab, IncaMail o modulo online, potete richiedere successivamente una ricompensa, registrando il vostro risultato sulla piattaforma bug bounty o direttamente su YesWeHack.
  • Vi preghiamo di leggere il Code of Conduct prima di inviarci un riscontro.

Partecipate subito al programma bug bounty

Desiderate saperne di più sul nostro programma bug bounty ed effettuare l’iscrizione? Per le condizioni di adesione e l’iscrizione consultate YesWeHack

Partecipare

Ecco come verifichiamo le segnalazioni

Le segnalazioni vengono analizzate in dettaglio dai nostri specialisti e ci aiutano a migliorare il sistema di voto elettronico. Ci adoperiamo per esaminare rapidamente ogni risultato e inviare una risposta in merito.

Di seguito è descritto il processo di comunicazione di un risultato.

  • Controlliamo che le comunicazioni siano complete e, se necessario, chiediamo ulteriori chiarimenti e informazioni.
  • Successivamente generiamo un ticket che viene analizzato dal nostro specialista di competenza.
  • La persona che ha comunicato il risultato riceve una notifica di elaborazione.
  • Appena terminiamo l’analisi e siamo in grado di confermare un risultato, quest’ultimo viene classificato come «risultato confermato» e pubblicato su GitLab.
  • Per tutte le segnalazioni classificate come «elevate» o «critiche», nel messaggio deve essere selezionato il campo «confidenziale». Tali segnalazioni vengono trattate come riservate. In questi casi vale la «Coordinated Vulnerability Disclosure».
  • Ogni mittente può inoltre decidere se, a prescindere dalla gravità del caso, inviare la propria comunicazione alla Posta in modo riservato.

Vi ricordiamo di rispettare il nostro Code of Conduct.

Programma CVE

La Posta sostiene le Common Vulnerabilities and Exposures (CVE). Incoraggiamo a segnalarci vulnerabilità critiche confermate registrando una CVE e forniamo la nostra assistenza tecnica.

Come ricompensiamo i rapporti

La Posta ricompensa esclusivamente i risultati confermati. Le nostre ricompense variano da 100 a 230’000 euro a seconda della criticità della vulnerabilità. Su YesWeHackTarget not accessible è disponibile una tabella dettagliata delle ricompense.

Per avere diritto a una ricompensa occorre iscriversi e identificarsi su YesWeHackTarget not accessible.

La Posta avvia di volta in volta i programmi bug bounty con un piccolo gruppo di specialisti interessati e amplia successivamente la cerchia di partecipanti, finché il programma non diventa pubblico. Nel programma privato bug bountyTarget not accessible sul voto elettronico, che a inizio settembre è stato convertito nel programma pubblico, sono stati invitati oltre 1500 hunter, che hanno inoltrato 39 segnalazioni, di cui nove confermate. La Posta ha versato 49’450 euro agli autori delle segnalazioni.