Contribuire

Panoramica

La verifica da parte di esperti indipendenti consente di identificare le vulnerabilità e di migliorare il sistema di voto elettronico.

Le vulnerabilità confermate e altri riscontri sono disponibili su GitLab.

Ecco come potete contribuire

  • Vi invitiamo a inoltrare i vostri risultati preferibilmente su GitLab, dove avrete una panoramica dei diversi riscontri e potrete confrontarvi con il nostro team Voto elettronico e con la community.
  • In alternativa potete trasmetterci il vostro riscontro tramite modulo online.
  • La Posta premia le persone che segnalano vulnerabilità confermate nel quadro del programma bug bounty. Per i risultati confermati che avete inoltrato tramite GitLab o modulo online, potete richiedere successivamente una ricompensa, registrando il vostro risultato sulla piattaforma bug bounty o direttamente su YesWeHack.
  • Vi preghiamo di leggere il Code of Conduct prima di inviarci un riscontro.

Partecipare al programma bug bounty

Volete scoprire di più sul nostro programma bug bounty e partecipare personalmente? Potete consultare le condizioni di partecipazione e iscrivervi su YesWeHack.

Partecipare

Ecco come verifichiamo le segnalazioni

Le segnalazioni vengono analizzate in dettaglio dai nostri specialisti e ci aiutano a migliorare il sistema di voto elettronico. Ci adoperiamo per esaminare rapidamente ogni risultato e inviare una risposta in merito.

Di seguito è descritto il processo di comunicazione di un risultato.

  • Controlliamo che le comunicazioni siano complete e, se necessario, chiediamo ulteriori chiarimenti e informazioni.
  • Successivamente generiamo un ticket che viene analizzato dal nostro specialista di competenza.
  • La persona che ha comunicato il risultato riceve una notifica di elaborazione.
  • Appena terminiamo l’analisi e siamo in grado di confermare un risultato, quest’ultimo viene classificato come «risultato confermato» e pubblicato su GitLab.
  • Per tutte le segnalazioni classificate come «elevate» o «critiche», nel messaggio deve essere selezionato il campo «confidenziale». Tali segnalazioni vengono trattate come riservate. In questi casi vale la «Coordinated Vulnerability Disclosure».
  • Ogni mittente può inoltre decidere se, a prescindere dalla gravità del caso, inviare la propria comunicazione alla Posta in modo riservato.

Vi ricordiamo di rispettare il nostro Code of Conduct.

Programma CVE

La Posta sostiene le Common Vulnerabilities and Exposures (CVE). Incoraggiamo a segnalarci vulnerabilità critiche confermate registrando una CVE e forniamo la nostra assistenza tecnica.

Come ricompensiamo i rapporti

La Posta ricompensa esclusivamente i risultati confermati. Le nostre ricompense variano da 100 a 230’000 euro a seconda della criticità della vulnerabilità. Su YesWeHack è disponibile una tabella dettagliata delle ricompense.

Per avere diritto a una ricompensa occorre iscriversi e identificarsi su YesWeHack.

La Posta avvia di volta in volta i programmi bug bounty con un piccolo gruppo di specialisti interessati e amplia successivamente la cerchia di partecipanti, finché il programma non diventa pubblico. Nel programma privato bug bounty sul voto elettronico, che a inizio settembre è stato convertito nel programma pubblico, sono stati invitati oltre 1500 hunter, che hanno inoltrato 39 segnalazioni, di cui nove confermate. La Posta ha versato 49’450 euro agli autori delle segnalazioni.