Comunicazione diretta con il team di sicurezza di LastPass
I clienti che ritengono di essere in presenza di un problema di sicurezza sono invitati a segnarlo all’indirizzo e-mail securitydisclosure@lastpass.com, da cui viene inoltrato al team di intelligence sulle minacce.
All’atto della segnalazione di potenziali problemi, chiediamo gentilmente agli utenti di essere quanto più esaurienti possibile affinché il nostro team abbia tutte le informazioni necessarie per ricreare le stesse condizioni. Tra le informazioni che andrebbero incluse, vi sono i passaggi esatti per riprodurre un bug, qualsiasi collegamento su cui possono aver fatto clic, le pagine che hanno visitato, gli URL e qualunque indirizzo e-mail degli account coinvolti. Andrebbero inclusi anche un esempio di codice e delle immagini o una registrazione video che dimostrino chiaramente la falla.
Se per individuare le vulnerabilità sono stati impiegati strumenti automatici, bisogna tenere in considerazione che tali strumenti spesso segnalano falsi positivi.
Segnalare le e-mail sospette
Hai ricevuto e-mail sospette? Desideri segnalarle per verificarne la legittimità?
Inoltra qualsiasi e-mail sospetta a abuse@lastpass.com. Il nostro team prenderà le misure del caso e ti comunicherà se l’e-mail è legittima.
Programma di bug bounty
Oltre al proprio programma di divulgazione responsabile, LastPass partecipa a un programma di bug bounty, ospitato da BugCrowd, per supportare i ricercatori di sicurezza che si impegnano a individuare e segnalare eventuali bug di sicurezza. Siamo grati per il lavoro svolto dalla community dei ricercatori di sicurezza e per le loro segnalazioni responsabili.
Accettiamo segnalazioni tramite BugCrowd per tutti i nostri prodotti, incluso il gestore di password e le soluzioni SSO ed MFA.
Consulta i dettagli del programma
Strategia di risposta ai problemi di sicurezza
Una volta che il nostro team riceve una segnalazione direttamente oppure tramite BugCrowd, si attiene alla seguente prassi:
- Intraprende le azioni necessarie per analizzarla e determinarne la gravità.
- Contatta direttamente chi l’ha effettuata per confermarne la ricezione e per richiedere maggiori informazioni, qualora servano.
- Se riesce a replicare il problema segnalato e constata che un intervento si rende necessario, provvede a risolvere il problema o a mitigarlo al meglio delle sue possibilità. Sebbene i problemi vengano abitualmente risolti con grande rapidità, la distribuzione delle correzioni dipende dalla complessità e dalla gravità del problema nonché dal processo di rilascio degli aggiornamenti.
- Dopo aver preso i provvedimenti necessari per risolvere il problema, chiude la segnalazione.
Attenzione: quanto sopra descritto non rappresenta un incoraggiamento ad accedere in modo illecito alle applicazioni di LastPass, a trafugare o divulgare informazioni riservate o proprietarie (incluso i dati dei clienti), a perturbare o compromettere le attività o i dati di LastPass oppure a infrangere la legge.
