Brussels Airlines Dichiarazione di Responsible Disclosure

Come ricercatore/ricercatrice Intigriti, hai la possibilità di guadagnare bene. Se sei pronto/a a rendere pubbliche le tue attività di hacking responsabile, puoi ricevere premi in denaro. Intigriti paga un premio a chi individua e segnala per primo un bug. Peraltro, Intigriti non accetta segnalazioni da ricercatori anonimi.

Se la tua segnalazione di vulnerabilità è valida e se desideri che il tuo contributo sia riconosciuto, saremo felici di includerti nella nostra “Brussels Airlines InfoSec Hall of Fame”, con il tuo vero nome o in forma anonima. Ma non preoccuparti, ti includeremo nella “Hall of Fame” solo se lo richiedi esplicitamente.

Se preferisci non fornire il tuo nome e i tuoi estremi di contatto, puoi segnalare una vulnerabilità direttamente a Brussels Airlines. In questo caso, però, non potremo discutere i passi successivi insieme a te, né potremo includerti nella “Hall of Fame”.

Per segnalarci direttamente una vulnerabilità, invia un’e-mail al nostro team security:

​InfoSec@brusselsairlines.com

I nostri specialisti leggeranno la tua segnalazione e si attiveranno immediatamente.

Il tuo messaggio dovrà essere chiaro e succinto. Dovrebbe includere in particolare le seguenti informazioni:

• Descrizione del tipo di vulnerabilità o rischio rilevato
  
• Prova della tua scoperta (p.es. Proof of Concept, video, schermata, ecc.)
• Le fasi della tua procedura
• La URL completa
• Gli oggetti possibilmente interessati

Possibili esempi di vulnerabilità:

• Vulnerabilità di tipo XSS (Cross-site scripting)
  
• Vulnerabilità di tipo SQL injection
• Esecuzione codice remoto
• Bypass dell’autenticaziones
• Vulnerabilità di criptazione

I test effettuati devono essere legittimi, occorre pertanto evitare l’impiego di tecniche distruttive o invasive. Regole da rispettare sempre:

• Non provocare degrado o interruzione dei nostri servizi online.
  
• Non utilizzare tecniche che possono influire sulla disponibilità dei nostri servizi online.
• Non apportare modifiche al sistema.
• Non modificare o cancellare dati del sistema.
• Qualora la tua scoperta richiedesse una copia dei dati del sistema, non copiare più di quanto sia necessario all'investigazione. Se un record è sufficiente, non copiare altro.
• Non rendere pubblico alcun dato dei clienti o aziendale.
• Non creare backdoor in alcun sistema.
• Non tentare di penetrare il sistema più di quanto sia necessario. Se penetri nel sistema, non condividere l’accesso ottenuto con altri.
• Non utilizzare tecniche di forzatura (p.es. introduzione ripetuta di password) per accedere al sistema.
• Non ricorrere all’ingegneria sociale per accedere ai nostri sistemi IT.

Per garantire il migliore risultato, ti invitiamo a seguire le seguenti direttive:

• Il rapporto deve essere creato in inglese, francese o neerlandese. Le segnalazioni fatte in altre lingue non saranno trattate.
  
• Fornisci dettagli sufficienti per consentirci di riprodurre la vulnerabilità.
• Prima di rendere pubblica qualsiasi informazione, lasciaci un ragionevole lasso di tempo per rimediare alla vulnerabilità.
• Consultaci prima di rendere pubblica qualsiasi informazione.
• Non chiedere a Brussels Airlines di remunerarti per la tua segnalazione.

Il nostro impegno nei tuoi confronti:

• Accuseremo ricevuta della tua segnalazione.
  
• Ti forniremo una stima del tempo necessario a risolvere la vulnerabilità.
• Ti informeremo quando l’avremo risolta.

Le tue informazioni personali saranno utilizzate solo per contattarti in merito alla tua segnalazione di vulnerabilità. Non divulgheremo le tue informazioni personali a terzi senza il tuo consenso. Qualora la legge ci imponesse di trasmettere i tuoi dati personali a un’autorità preposta, ci accerteremo che tale autorità li tratti in modo riservato. Rimaniamo responsabili per le tue informazioni personali.