Politica di divulgazione delle vulnerabilità

Ultimo aggiornamento: 07.03.2026

Introduzione

[ MECANIK DEV ] prende sul serio la sicurezza dei propri sistemi e servizi. Apprezziamo il lavoro dei ricercatori di sicurezza che ci aiutano a migliorare la nostra postura di sicurezza.

Questa politica descrive come segnalarci le vulnerabilità e cosa puoi aspettarti in cambio.

Ambito di applicazione

Questa politica si applica ai seguenti domini e servizi:

  • mecanik.dev
  • members.mecanik.dev
  • api.mecanik.dev

Segnalazione di una vulnerabilità

Se ritieni di aver trovato una vulnerabilità di sicurezza in uno dei nostri sistemi, ti preghiamo di segnalarcela inviando un’e-mail a:

[email protected]

Includi nel tuo rapporto:

  • Una descrizione della vulnerabilità
  • I passaggi per riprodurre il problema
  • Il potenziale impatto della vulnerabilità
  • Eventuale codice proof-of-concept, se disponibile

Cosa aspettarsi

  • Conferma: Confermeremo la ricezione del tuo rapporto entro 3 giorni lavorativi.
  • Valutazione: Esamineremo e convalideremo la vulnerabilità segnalata.
  • Aggiornamenti: Ti terremo informato sui nostri progressi.
  • Risoluzione: Miriamo a risolvere le vulnerabilità critiche il più rapidamente possibile.
  • Riconoscimento: Con il tuo permesso, riconosceremo il tuo contributo sulla nostra pagina Riconoscimenti di sicurezza .

Linee guida

Chiediamo ai ricercatori di sicurezza di:

  • Fare ogni sforzo per evitare violazioni della privacy, distruzione dei dati e interruzioni del servizio.
  • Interagire solo con account di propria titolarità o con l’esplicita autorizzazione del titolare dell’account.
  • Non sfruttare una vulnerabilità oltre quanto necessario per dimostrarla.
  • Segnalare le vulnerabilità tempestivamente e concederci un tempo ragionevole per risolverle prima della divulgazione pubblica.
  • Non praticare social engineering, phishing o attacchi fisici contro il nostro personale o la nostra infrastruttura.

Porto sicuro

Consideriamo la ricerca di sicurezza condotta in conformità con questa politica come:

  • Autorizzata ai sensi delle leggi anti-hacking applicabili.
  • Esente dalle restrizioni DMCA sulla circumvenzione dei controlli tecnologici.

Non intraprenderemo azioni legali contro i ricercatori che rispettano questa politica.

Esclusioni

I seguenti elementi non rientrano nell’ambito di applicazione:

  • Attacchi denial-of-service
  • Attacchi di social engineering
  • Attacchi fisici
  • Campagne di spam o phishing
  • Vulnerabilità in software o servizi di terze parti non sotto il nostro controllo