Linee guida del programma di divulgazione responsabile Malwarebytes

Divulgazione responsabile e non responsabile

In base alla nostra esperienza, (a) la divulgazione pubblica di codice di exploit proof of concept, (b) dettagli non necessari per far capire il punto o (c) la divulgazione di dettagli sulla vulnerabilità prima della disponibilità di una correzione rappresentano una divulgazione non responsabile che fa più male che bene, in quanto attira inutilmente l'attenzione su un problema di sicurezza. Pertanto, il programma Malwarebytes CVD assegnerà bug bounty solo ai segnalatori che seguono le linee guida per la divulgazione responsabile.

Cosa si intende per Bug Bounty?

Malwarebytes offre bug bounty in denaro per i bug più interessanti. L'importo assegnato per i bug interessanti dipende dalla gravità e dalla sfruttabilità del bug. Tuttavia, Malwarebytes si riserva il diritto di aumentare questo importo in base ai singoli casi. Inoltre, i CVE vengono assegnati ed elencati all'indirizzo malwarebytes

Quali obblighi di riservatezza mi assumo fornendo un contributo?

Se ci inviate una richiesta per questo programma, accettate di non divulgare mai il codice di exploit funzionante (compresi i file binari di tale codice) per la vulnerabilità in questione a nessun'altra entità fino a quando la correzione non viene riconosciuta, a meno che Malwarebytes non renda tale codice generalmente disponibile al pubblico o che non siate obbligati per legge a divulgarlo. Ciò non impedisce di discutere della vulnerabilità o di mostrare gli effetti dell'exploit nel codice.

Quali tipi di vulnerabilità accetta il programma CVD?

Seguire le linee guida del programma HackerOne.

Ultima modifica 13 agosto 2025