Brussels Airlines Dichiarazione di Responsible Disclosure

Dichiarazione di Responsible Disclosure

Per Brussels Airlines, la sicurezza e la continuità dei propri servizi online è una delle maggiori priorità. I nostri specialisti sono continuamente al lavoro per ottimizzare e rendere sempre più sicuri i nostri sistemi e processi. Nonostante ciò, alcune vulnerabilità potrebbero non essere rilevate.

Prendiamo in esame tutte le segnalazioni di vulnerabilità in relazione alla sicurezza della nostra presenza sul web. Se sei un/a ricercatore/ricercatrice e pensi di avere scoperto una vulnerabilità nella nostra sicurezza, ti invitiamo a segnalarcela per lavorare insieme a migliorare la sicurezza e l’affidabilità dei nostri sistemi.

Puoi segnalare le vulnerabilità iscrivendoti al programma bug bounty Intigriti e registrandoti come ricercatore/ricercatrice su:
https://www.intigriti.com

Intigriti è una piattaforma di sicurezza finanziata dal basso in cui ricercatori e aziende si incontrano. In quanto piattaforma di hacking etico e bug bounty, Intigriti mira a identificare e risolvere le vulnerabilità in modo economicamente efficiente. La piattaforma facilita la conduzione di test online grazie alla collaborazione con ricercatori esperti.

Che cosa ci guadagno con la mia segnalazione?

Come ricercatore/ricercatrice Intigriti, hai la possibilità di guadagnare bene. Se sei pronto/a a rendere pubbliche le tue attività di hacking responsabile, puoi ricevere premi in denaro. Intigriti paga un premio a chi individua e segnala per primo un bug. Peraltro, Intigriti non accetta segnalazioni da ricercatori anonimi.

I nostri ringraziamenti

Se la tua segnalazione di vulnerabilità è valida e se desideri che il tuo contributo sia riconosciuto, saremo felici di includerti nella nostra “Brussels Airlines InfoSec Hall of Fame”, con il tuo vero nome o in forma anonima. Ma non preoccuparti, ti includeremo nella “Hall of Fame” solo se lo richiedi esplicitamente.

Posso segnalare una vulnerabilità in forma anonima?

Se preferisci non fornire il tuo nome e i tuoi estremi di contatto, puoi segnalare una vulnerabilità direttamente a Brussels Airlines. In questo caso, però, non potremo discutere i passi successivi insieme a te, né potremo includerti nella “Hall of Fame”.

Per segnalarci direttamente una vulnerabilità, invia un’e-mail al nostro team security:
InfoSec@brusselsairlines.com

I nostri specialisti leggeranno la tua segnalazione e si attiveranno immediatamente.

Il tuo messaggio dovrà essere chiaro e succinto. Dovrebbe includere in particolare le seguenti informazioni:

  • Descrizione del tipo di vulnerabilità o rischio rilevato
  • Prova della tua scoperta (p.es. Proof of Concept, video, schermata, ecc.)
  • Le fasi della tua procedura
  • La URL completa
  • Gli oggetti possibilmente interessati

Possibili esempi di vulnerabilità:

  • Vulnerabilità di tipo XSS (Cross-site scripting)
  • Vulnerabilità di tipo SQL injection
  • Esecuzione codice remoto
  • Bypass dell’autenticaziones
  • Vulnerabilità di criptazione

Regole del test di vulnerabilità

I test effettuati devono essere legittimi, occorre pertanto evitare l’impiego di tecniche distruttive o invasive. Regole da rispettare sempre:

  • Non provocare degrado o interruzione dei nostri servizi online.
  • Non utilizzare tecniche che possono influire sulla disponibilità dei nostri servizi online.
  • Non apportare modifiche al sistema.
  • Non modificare o cancellare dati del sistema.
  • Qualora la tua scoperta richiedesse una copia dei dati del sistema, non copiare più di quanto sia necessario all'investigazione. Se un record è sufficiente, non copiare altro.
  • Non rendere pubblico alcun dato dei clienti o aziendale.
  • Non creare backdoor in alcun sistema.
  • Non tentare di penetrare il sistema più di quanto sia necessario. Se penetri nel sistema, non condividere l’accesso ottenuto con altri.
  • Non utilizzare tecniche di forzatura (p.es. introduzione ripetuta di password) per accedere al sistema.
  • Non ricorrere all’ingegneria sociale per accedere ai nostri sistemi IT.

Linee guida per la segnalazione di vulnerabilità

Per garantire il migliore risultato, ti invitiamo a seguire le seguenti direttive:

  • Il rapporto deve essere creato in inglese, francese o neerlandese. Le segnalazioni fatte in altre lingue non saranno trattate.
  • Fornisci dettagli sufficienti per consentirci di riprodurre la vulnerabilità.
  • Prima di rendere pubblica qualsiasi informazione, lasciaci un ragionevole lasso di tempo per rimediare alla vulnerabilità.
  • Consultaci prima di rendere pubblica qualsiasi informazione.
  • Non chiedere a Brussels Airlines di remunerarti per la tua segnalazione.

Il nostro impegno in relazione alle segnalazioni di vulnerabilità

Il nostro impegno nei tuoi confronti:

  • Accuseremo ricevuta della tua segnalazione.
  • Ti forniremo una stima del tempo necessario a risolvere la vulnerabilità.
  • Ti informeremo quando l’avremo risolta.

La tua privacy

Le tue informazioni personali saranno utilizzate solo per contattarti in merito alla tua segnalazione di vulnerabilità. Non divulgheremo le tue informazioni personali a terzi senza il tuo consenso. Qualora la legge ci imponesse di trasmettere i tuoi dati personali a un’autorità preposta, ci accerteremo che tale autorità li tratti in modo riservato. Rimaniamo responsabili per le tue informazioni personali.

Grazie per il tuo supporto.
Information Security Team - Brussels Airlines

Last update: March 2019