Politica di divulgazione responsabile

Come segnalare vulnerabilità di sicurezza a RocketShare

Prendiamo sul serio la sicurezza di RocketShare e i dati dei nostri utenti. Se scoprite una vulnerabilità di sicurezza, apprezziamo il vostro aiuto nel divulgarla in modo responsabile.

Ambito

I seguenti elementi rientrano nell'ambito di questa politica:

  • rocketshare.app — l'applicazione web principale
  • Endpoint API sotto rocketshare.app
  • L'implementazione della crittografia lato client
  • Autenticazione e gestione delle sessioni
  • Controllo degli accessi e logica di autorizzazione

Come segnalare

Inviate le vostre scoperte tramite il nostro modulo di contatto con l'oggetto "Segnalazione di vulnerabilità di sicurezza". Si prega di includere:

  • Una descrizione chiara della vulnerabilità
  • Passaggi per riprodurre il problema
  • L'impatto potenziale secondo la vostra comprensione
  • Qualsiasi codice proof-of-concept o screenshot (se applicabile)
  • Le vostre informazioni di contatto per domande di follow-up

Cosa chiediamo

  • Non divulgate pubblicamente la vulnerabilità fino a quando non avremo avuto un'opportunità ragionevole di risolverla
  • Non accedete, modificate o eliminate dati di altri utenti durante la vostra ricerca
  • Non eseguite attacchi denial-of-service o test che degradano il servizio per altri utenti
  • Non utilizzate strumenti di scansione automatizzati su larga scala contro i sistemi di produzione — testate manualmente o utilizzate un account di test personale
  • Agite in buona fede — fate uno sforzo genuino per evitare violazioni della privacy e interruzioni

Cosa promettiamo

  • Conferma entro 48 ore — confermeremo la ricezione della vostra segnalazione entro 2 giorni lavorativi
  • Aggiornamenti regolari — vi terremo informati sui nostri progressi mentre indaghiamo e risolviamo il problema
  • Tempi di risoluzione ragionevoli — miriamo a risolvere le vulnerabilità confermate entro 90 giorni, a seconda della complessità
  • Riconoscimento — con il vostro permesso, vi accrediteremo come segnalatori quando divulgheremo la correzione
  • Nessuna azione legale — non intraprenderemo azioni legali contro i ricercatori che seguono questa politica in buona fede

Nessuna ricompensa finanziaria

Al momento, non offriamo ricompense finanziarie (bug bounties) per le segnalazioni di vulnerabilità. Offriamo riconoscimento pubblico e la nostra sincera gratitudine per aver contribuito a mantenere RocketShare sicuro.

Fuori dall'ambito

I seguenti elementi non sono considerati vulnerabilità nell'ambito di questa politica:

  • Social engineering — attacchi di phishing o pretexting contro il nostro team o gli utenti
  • Denial of service (DoS/DDoS) — attacchi volumetrici o esaurimento delle risorse
  • Servizi di terze parti — vulnerabilità nei servizi che utilizziamo ma non controlliamo (es. Cloudflare, processori di pagamento)
  • Self-XSS — problemi che richiedono alla vittima di incollare codice nella console del browser
  • Header di sicurezza mancanti su pagine non sensibili — a meno che non portino a un exploit dimostrabile
  • Rate limiting — assenza di rate limiting su endpoint non critici
  • Divulgazione della versione del software — informazioni sulla versione del server o del framework negli header o nelle risposte
  • Content spoofing — senza un impatto di sicurezza dimostrato

Questa politica è in vigore da febbraio 2026. Per domande su questa politica, contattateci.