Responsible Disclosure

La sicurezza al primo posto

Fastweb considera la protezione dei dati e la tutela dei propri clienti una priorità e per questo invita tutti coloro che abbiano scoperto una vulnerabilità in uno dei propri sistemi, servizi o prodotti, ad inviare una segnalazione.

Il nostro impegno

Fastweb considera la protezione dei dati e la tutela dei propri clienti una priorità e per questo adotta, per i propri sistemi, servizi e prodotti, un processo di sviluppo sicuro in ogni sua fase, dalla progettazione fino al rilascio.

Nonostante ciò, a volte, alcune vulnerabilità non vengono rilevate e/o si manifestano una volta rilasciato al pubblico il prodotto, l’applicazione o il servizio. È quindi per questo motivo che Fastweb, nell’ottica di migliorare ulteriormente i propri livelli di sicurezza e di affidabilità, ha pubblicato la presente procedura di Responsible Disclosure con l’obiettivo di coinvolgere i ricercatori e più in generale gli appassionati di cyber security affinché aiutino l’azienda a rendere i propri sistemi ancora più sicuri e affidabili, gestendo in modo responsabile le vulnerabilità di sicurezza da loro individuate, in un impegno comune a tutela della sicurezza e della privacy dei propri clienti.

Fastweb invita quindi tutti coloro che abbiano scoperto una vulnerabilità in uno dei propri sistemi, servizi o prodotti, quali

  • Portali di Fastweb, domini .fastweb.it (ad eccezione di www.gestione-documenti.fastweb.it e www.i-miei-documenti.fastweb.it);
  • Dispositivi a marchio Fastweb (ad esempio modem-router ADSL con l'esclusione dei cellulari);
  • Applicazioni mobili a marchio Fastweb e pubblicate sugli store ufficiali (ad es. MyFastweb, FASTcloud Drive, Fastmail, etc.);

a registrarsi sul portale al presente link e

Sottomettere una segnalazione, accettando di seguire la policy di divulgazione responsabile sotto riportata.
La segnalazione inserita sul portale dovrà riportare le principali informazioni utili a permetterci di identificare e riprodurre la vulnerabilità che si intende segnalare, seguendo le istruzioni riportate nel form di inserimento nuova segnalazione.
Mantenere strettamente riservate e segrete le vulnerabilità scoperte, impegnandosi a non rivelarle o renderle disponibili a terzi fino alla comunicazione da parte di Fastweb della avvenuta applicazione delle opportune contromisure, e comunque previa condivisione dei contenuti che si ha intenzione di divulgare, a titolo di tutela reciproca per evitare la diffusione involontaria di informazioni aziendali non collegate alla vulnerabilità e che devono rimanere riservate.
Collaborare con il team Security di Fastweb e i gruppi di lavoro coinvolti.
Compiere ogni sforzo per evitare violazioni della privacy, degrado o interruzione dei servizi e distruzione dei dati. In tal senso è fatto espresso divieto di:
Accedere ai dati, modificarli o scaricarli da un account per il quale non si hanno diritti; Mettere in atto azioni assimilabili ad attacchi di tipo “Denial of Service” o in grado di danneggiare il funzionamento di qualsiasi bene o risorsa Fastweb; Caricare, linkare, eseguire o inviare codice malevolo sfruttando i sistemi di Fastweb; Effettuare test il cui effetto sia l’invio di messaggi indesiderati, spam o altre forme di messaggi non autorizzati;

Una volta ricevuta la segnalazione, Fastweb si impegna a:

Non intraprendere azioni legali contro chi scopre e segnala falle di sicurezza nel rispetto della presente policy di divulgazione responsabile. Qualsiasi richiesta di compenso (in denaro o di altra natura) relativa a vulnerabilità identificate o presunte sarà considerata non conforme alla presente policy di divulgazione responsabile.

Inviare un riscontro entro 20 giorni con cui si forniscono indicazioni sulla pertinenza della segnalazione rispetto al processo di Responsible Disclosure e sull'esito dell'analisi preliminare effettuata da Fastweb.

Pubblicare, ove il riscontro fosse positivo e il segnalatore ne avesse fatto richiesta, il nome del segnalatore e/o i contatti forniti nella sezione "Hall of Fame". Resta inteso, come definito sopra, che Fastweb considera il periodo di riservatezza dell'informazione fino alla chiusura della vulnerabilità e alla conseguente informativa a chi ha inviato la segnalazione.

Sono escluse dalla presente procedura di Responsible Disclosure, e verranno di conseguenza rifiutate, le segnalazioni relative alle seguenti casistiche:

Esiti di tool automatici di vulnerability assessment/penetration testing/Information Gathering (es SQLmap, Owasp ZAP, nmap, etc.); Esiti di test fisici sulle reti (es. open door, tailgating); Esiti di attacchi di Denial of Service (DoS, DDoS), per i quali Fastweb si riserva di intraprendere dovuti provvedimenti; Tutte le segnalazioni non inerenti al processo di Responsible Disclosure. Tali segnalazioni non saranno prese in considerazione e non saranno forniti riscontri in merito. Per problematiche di phishing e/o spam si suggerisce di contattare la casella abuse@fastweb.it, mentre per problematiche relative alla privacy si suggerisce di contattare la casella privacy@fastweb.it; Rilevazioni su domìni non direttamente gestiti da Fastweb o comunque non facenti parte del perimetro sopra esplicitato a cui il programma si applica; Risultati di assessment condotti tramite siti specializzati (es. ssllabs.com, securityheaders.io, urlscan.io); Bug relativi la User Interface o la User Experience che non costituiscono una falla di sicurezza (es. errori di battitura, nel formato della pagina) per i quali si rimanda ai canali istituzionali di Customer Care (Call Center 192193, Messaggio privato Facebook); Altre segnalazioni relative a vulnerabilità a basso impatto, come clickjacking, captcha deboli, mancanza di flag sui cookie (es. secure, HTTPOnly), mancanza di header di sicurezza HTTP.

Fastweb non prevede inoltre di mettere a disposizione degli utenti che partecipano al programma risorse quali account o ambienti di test dedicati.

Fastweb si riserva la possibilità di aggiornare in qualunque momento la procedura di Responsible Disclosure sopra descritta.

Hall of Fame

Fastweb ringrazia tutti coloro che hanno contribuito, in modo responsabile, a migliorare la sicurezza dei propri sistemi, servizi e prodotti dimostrando di possedere ottime capacità tecniche nell’ambito della sicurezza informatica!

2018
Raffaele Sabato
Ezio Paglia
Angelo Anatrella
Lorenzo Stella
2019
Francesco Iubatti
Andrei Manole
Federico Zambito
Simone Quatrini
Antonio Cannito
Michele Toccagni
Alessandro Sacco
Emanuele Gentili
Francesco Giordano
Alessandro Groppo
Alexander Bekk
Serge Lacroute
Ennio Campagna
Marco Nappi
Alessandro Moccia
Aaditya Kumar Sharma
Vincenzo Vetturelli
Riccardo Gasparini
Paolo Stagno
Hatim Chabik
Roman Paci
Aditya Shende
Abdul Ghaffar Afzal
Angelo Anatrella
Giantonio Chiarelli
Andrea Togni
Giorgio Di Grazia
Rutik Sangle
Pethuraj M
Yogeshwaran Chandrasekaran
2020
Abdel Adim Oisfi
Vivek Panday
Alessio Della Libera
Asim Sattar
Rahad Chowdhury
Alessandro Strino
Simone Quatrini
Antonio Arlia Ciombo
Roman Paci
Fabio Mariani
Marco Mezzaro
Luca Di Domenico
Shivprasad Sambhare
Harshal S. Sharma
Cesare Pizzi
Jawad Mahdi
Andrea Falso
2021
Chan Nyein Wai
Simone Quatrini
Giovanni Fazi
Richie from ZYB
Donato Di Pasquale
Michele Corrias
Paolo Carretto
Andrea Baesso
Pasquale Fiorillo
Donato Scaramuzzo
Jacopo Cavallo
Christian Danieli
Valerio Casalino
2022
Donato Scaramuzzo
Andrei Manole
Simone Paganessi
Simone Quatrini
Valerio Severini
Reando Veshi
Antonio Cannito
Abhith Damodaran
Alessandro Casale
Felipe Renzi
Nicola Concas
2023
Nguyen Phu Hung
Simone Quatrini
Hasan Sheet
Qais Qais
Patrick Justin Ciurdas
Daniele Capone
Emanuele Galdi
Abdul Samad
Domenico Veneziano
2024
Jay Mehta
Hasan Sheet
Aditya Singh
Simone Quatrini
Vinayak Sakhare
Vaibhav Jain
Iliass Lahrach
Riccardo Malatesta
Patrick Justin Ciurdas
Pablo Santiago Gil
Alejandro Sanz
Siddesh Ningappa
Andrea Amaddio
Ujjawal Jaiman
Martino Ferrari
Dyson Kieu