NOTHING (R)
0

Report di vulnerabilità di sicurezza

Segnalazione di vulnerabilità

Come segnalare un problema di vulnerabilità di sicurezza

Se hai un problema di vulnerabilità di sicurezza con un prodotto o un'applicazione Nothing, invia un'e-mail a g_feedback@nothing.tech.

Utilizza la chiave pubblica PGP per crittografare l'email con informazioni sensibili e per verificare che le comunicazioni di sicurezza inviate da Nothing siano autentiche.

Data di attivazione: 4 luglio 2022

Data di scadenza: N/A

Chiave ID: 0xA785B8AA

Tipo di chiave: RSA

Dimensioni della chiave: 4096/4096

Impronta digitale: 96A4 6E60 11B0 32D9 8D54 B384 F6EF CEC6 A785 B8AA

ID utente : g_feedback@nothing.tech

Nella tua email, fornisci le seguenti informazioni:
  • Descrizione dettagliata del problema
  • I prodotti e le versioni del software
  • Informazioni sugli exploit conosciuti
  • Categoria di vulnerabilità
  • Titolo della vulnerabilità
  • Nom del dominio
  • Livello di vulnerabilità
  • Descrizione della vulnerabilità
  • Dettagli aggiuntivi
  • Allegati (se presenti)
  • Piano di riparazione


Descrivi in dettaglio il processo di scoperta del problema e il suo impatto. Includi anche eventuali documenti di codice sorgente pertinenti, screenshot o video. Se hai utilizzato strumenti di debugging durante il processo di sfruttamento della vulnerabilità, caricali come allegati. Se gli strumenti sono troppo grandi, fornisci un link per il download. Inoltre, fornisci la prova di fattibilità della vulnerabilità o un exploit.

Nota: il mancato rispetto di questi requisiti potrebbe comportare il mancato superamento del processo di revisione del tuo report.

Una volta ricevuto il tuo report di vulnerabilità, completeremo il processo di verifica entro 30 giorni lavorativi e risponderemo alla tua email di vulnerabilità con i risultati. Continua a monitorare la tua email per gli aggiornamenti.

g_feedback@nothing.tech raccoglie solo vulnerabilità di sicurezza relative ai prodotti Nothing. Se hai altri problemi relativi ai prodotti, puoi contattarci tramite la nostra pagina contact us.

 Ricompense per le vulnerabilità scoperte

Le ricompense per la scoperta di vulnerabilità incentivano gli individui a segnalare le vulnerabilità di sicurezza. Le ricompense sono suddivise in base ai livelli di vulnerabilità, con problemi più critici che guadagnano ricompense maggiori. La tabella seguente mostra i livelli di vulnerabilità e le relative ricompense.

Critico

$1000 - $2000

Divulgazione di informazioni riservate, accesso non autorizzato ai sistemi principali o grandi quantità di informazioni confidenziali, attività ultra vires su operazioni sensibili.

Alto

$500 - $1000

Vulnerabilità che ottengono direttamente permessi, portano alla fuga di informazioni sensibili e rubano informazioni interne degli utenti.

Medio

$100 - $500

Vulnerabilità che richiedono interazione per ottenere permessi, portano a gravi fughe di informazioni e rubano informazioni interne degli utenti.

Basso

$20 - $100

Solo in situazioni specifiche i permessi di accesso possono portare a fughe di informazioni, vulnerabilità di furto di informazioni interne degli utenti.

Se il voucher per lo store non è disponibile nella tua regione, sarà convertito in altre ricompense in modo pro-rata. Si applicano termini e condizioni a tutti i voucher. Gli importi e i tipi di voucher sono a discrezione esclusiva di Nothing.

 Avviso:

Le seguenti situazioni non saranno premiate:

  1. Vulnerabilità non correlate ai prodotti Nothing.
  2. Vulnerabilità rese pubbliche prima della loro correzione.
  3. Vulnerabilità che sono state divulgate pubblicamente online.
  4. Per la stessa vulnerabilità, solo il primo segnalatore sarà premiato; i segnalatori successivi non riceveranno alcuna ricompensa. Una vulnerabilità trovata in diverse versioni è considerata la stessa vulnerabilità.
  5. Chi sfrutta le vulnerabilità per danneggiare gli interessi degli utenti, interrompere le operazioni aziendali o rubare dati degli utenti non riceverà alcuna ricompensa. Inoltre, Nothing si riserva il diritto di intraprendere ulteriori azioni legali.
  6. Partecipando al programma di segnalazione delle vulnerabilità, riconosci e accetti che eventuali ricompense concesse sono soggette ai termini e condizioni di questo programma. Se le ricompense sono fornite sotto forma di denaro o sono altrimenti tassabili, è tua responsabilità rispettare le leggi fiscali locali e dichiarare e pagare eventuali tasse applicabili associate alla ricompensa ricevuta. Nothing non è responsabile per eventuali obblighi fiscali individuali che potrebbero sorgere.
  7. A causa di restrizioni legali, Nothing potrebbe non essere in grado di elaborare ricompense per paesi/regioni soggetti a sanzioni.
Le ricompense verranno declassate o annullate nelle seguenti situazioni:

 

  1. Per informazioni con gravi discrepanze tra il titolo e il contenuto, il declassamento della vulnerabilità sarà eseguito di conseguenza, in casi gravi le ricompense saranno annullate.
  2. La revisione sarà moderata in base a standard di segnalazione di alta qualità. Per report che mancano di fattori chiave (descrizione testuale, prova grafica, processo di test, interfaccia di rischio, parametri, ecc.), che hanno un layout di report non strutturato, e che non possono essere costantemente riprodotti, saranno declassati/ignorati.
  3. Divulgazione pubblica dei dettagli delle vulnerabilità senza il permesso di Nothing. In tali casi, Nothing si riserva il diritto di recuperare le ricompense per le vulnerabilità e intraprendere azioni legali adeguate, inclusa la richiesta di danni e/o ingiunzioni.


Per lo stesso URL, se ci sono vulnerabilità simili in più parametri, saranno date ricompense per una sola vulnerabilità, e le ricompense saranno assegnate in base al grado massimo di danno per diversi tipi.

Vulnerabilità multiple generate dalla stessa fonte sono contate come una sola vulnerabilità. Ad esempio, errori di sicurezza multiple causati dallo stesso JS, multipli errori di sicurezza della pagina causati dallo stesso sistema di pubblicazione, errori di sicurezza multiple dell'intera stazione causati da framework, errori di sicurezza multiple generati dalla risoluzione del nome di dominio, ecc.

Se invii più vulnerabilità nello stesso report, ti ricompenseremo con la vulnerabilità con il livello di danno più alto.

Quando presenti una vulnerabilità, conferma se avrà un reale impatto sull'attività e presenta una prova del danno reale. I danni indiretti o speculativi non saranno presi in considerazione nella classificazione.

Ciclo di distribuzione delle ricompense:

Distribuiremo le ricompense entro 30 giorni lavorativi dal completamento della verifica della vulnerabilità tramite email. Verifica tempestivamente lo stato della tua ricompensa.

 Informazioni personali coinvolte:

Per ricevere la ricompensa, devi fornire il tuo account NOTHING.tech o altre informazioni sull'account. Tuttavia, non richiediamo alcuna informazione personale aggiuntiva durante il processo di segnalazione della vulnerabilità. Chiederemo solo il tuo indirizzo email registrato per la comunicazione e le informazioni del tuo account registrato per l'emissione della ricompensa.

Accederemo, elaboreremo e condivideremo le tue informazioni personali in conformità con la nostra Privacy Policy. Partecipando, accetti l'accesso, l'uso e la condivisione delle tue informazioni personali come descritto sopra e nella nostra Privacy Policy. Se hai domande riguardo a questa Privacy Policy o alla sua attuazione, puoi contattarci: Indirizzo Email: privacy@nothing.tech