Contribuire

La verifica da parte di esperti indipendenti consente di identificare le vulnerabilità e di migliorare il sistema di voto elettronico.

Di seguito sono riportate alcune cifre relative alle segnalazioni pervenute alla Posta dall’avvio del programma di community a inizio 2021. I risultati confermati vengono categorizzati in base al loro livello di gravità.

Questi dati vengono aggiornati regolarmente (stato al 02.04.2024).

Trovate una panoramica di tutte le segnalazioni su GitLab.Target not accessible

• Vi invitiamo a inoltrare i vostri risultati preferibilmente su GitLabTarget not accessible, dove avrete una panoramica dei diversi riscontri e potrete confrontarvi con il nostro team Voto elettronico e con la community.
• In alternativa potete trasmetterci il vostro riscontro inviando un’e-mail cifrata (IncaMail) oppure tramite modulo online.
• La Posta premia le persone che segnalano vulnerabilità confermate nel quadro del programma bug bounty. Per i risultati confermati che avete inoltrato tramite GitLab, IncaMail o modulo online, potete richiedere successivamente una ricompensa, registrando il vostro risultato sulla piattaforma bug bounty o direttamente su YesWeHack.
• Vi preghiamo di leggere il Code of Conduct prima di inviarci un riscontro.

Le segnalazioni vengono analizzate in dettaglio dai nostri specialisti e ci aiutano a migliorare il sistema di voto elettronico. Ci adoperiamo per esaminare rapidamente ogni risultato e inviare una risposta in merito.

Di seguito è descritto il processo di comunicazione di un risultato.

• Controlliamo che le comunicazioni siano complete e, se necessario, chiediamo ulteriori chiarimenti e informazioni.
• Successivamente generiamo un ticket che viene analizzato dal nostro specialista di competenza.
• La persona che ha comunicato il risultato riceve una notifica di elaborazione.
• Appena terminiamo l’analisi e siamo in grado di confermare un risultato, quest’ultimo viene classificato come «risultato confermato» e pubblicato su GitLab.
• Per tutte le segnalazioni classificate come «elevate» o «critiche», nel messaggio deve essere selezionato il campo «confidenziale». Tali segnalazioni vengono trattate come riservate. In questi casi vale la «Coordinated Vulnerability Disclosure».
• Ogni mittente può inoltre decidere se, a prescindere dalla gravità del caso, inviare la propria comunicazione alla Posta in modo riservato.

Vi ricordiamo di rispettare il nostro Code of Conduct.

La Posta sostiene le Common Vulnerabilities and Exposures (CVE). Incoraggiamo a segnalarci vulnerabilità critiche confermate registrando una CVE e forniamo la nostra assistenza tecnica.

La Posta ricompensa esclusivamente i risultati confermati. Le nostre ricompense variano da 100 a 230’000 euro a seconda della criticità della vulnerabilità. Su YesWeHackTarget not accessible è disponibile una tabella dettagliata delle ricompense.

Per avere diritto a una ricompensa occorre iscriversi e identificarsi su YesWeHackTarget not accessible.

Tutte le fasi del processo di voto elettronico vengono verificate conformemente alle disposizioni di legge, anche quelle esterne al sistema di voto online della Posta. Gli altri fornitori/partner dei Cantoni organizzano i propri programmi bug bounty.

Maggiori informazioni