🔐 Responsible Disclosure Program

Aiutaci a proteggere chi ci protegge

Fiuto è un'app anti-truffa che tutela utenti spesso vulnerabili. Ogni bug di sicurezza che ci aiuti a chiudere è una persona in più al sicuro. Siamo un progetto piccolo con risorse limitate, ma crediamo che la sicurezza dei nostri utenti valga il giusto riconoscimento ai ricercatori che ce la aiutano a costruire.

🤝
La nostra promessa: non denunceremo mai ricercatori che seguono questo programma in buona fede. Rispondiamo entro 72 ore, confermiamo la validità entro 7 giorni, e mettiamo in produzione il fix il prima possibile. Nessuna azione legale, nessuna ritorsione.

🎯 Cosa puoi testare

🌐
fiuto.app
Sito web e webapp pubblica (solo questo dominio)
🔌
api.fiuto.app
Endpoint API pubblici e rotte /api/*, /v1/*
📱
App iOS Fiuto
Bundle com.cyberrelay.Fiuto, ultima versione pubblicata su App Store
🤖
App Android Fiuto
Ultima versione pubblicata su Play Store (quando disponibile)

🚫 Fuori scope

🧠
Importante — modelli AI esclusi dal programma. Fiuto utilizza modelli di intelligenza artificiale on-device per classificare truffe e messaggi sospetti. Vulnerabilità relative ai modelli AI non rientrano nel programma di bug bounty: prompt injection, jailbreak, bypass dei classificatori, estrazione di pesi o training data, adversarial examples, falsi positivi/negativi, hallucination. I modelli AI sono sistemi probabilistici per natura e non garantiscono accuratezza al 100% — eventuali limitazioni vanno discusse attraverso il canale di feedback prodotto, non come vulnerabilità di sicurezza.
  • Sottodomini e servizi diversi da fiuto.app e api.fiuto.app (es. mail, blog esterni, pagine statiche di terze parti)
  • Modelli di intelligenza artificiale inclusi nell'app: prompt injection, jailbreak, bypass dei filtri, hallucination, estrazione di training data, adversarial input contro i classificatori. I modelli AI on-device non sono parte del programma.
  • Attacchi DoS / DDoS, flood, amplification, brute force massivo, stress test di qualunque tipo
  • Rate limiting, captcha, limiti di utilizzo "bypassabili" senza impatto concreto sui dati o sugli utenti
  • Social engineering di utenti o dipendenti, phishing, pretexting
  • Accesso fisico a dispositivi, jailbreak/root dell'ambiente di test, attacchi side-channel che richiedono possesso fisico
  • Vulnerabilità in servizi di terze parti su cui ci appoggiamo (Porkbun, Aruba, Tuta, Apple Push Notification, Play Integrity, ecc.)
  • Librerie open-source con CVE pubbliche già note: segnalale upstream, non a noi
  • Problemi teorici senza dimostrazione di impatto reale (PoC mancante)
  • Report generati da scanner automatici (Nuclei, Nessus, Burp Active Scan...) senza analisi manuale e validazione
  • Versioni beta, TestFlight, ambienti di staging o endpoint non documentati
  • Mancanza di best-practice headers quando non sfruttabili (es. X-Frame-Options su endpoint JSON, SPF su domini non-mail)
  • Self-XSS, clickjacking senza impatto reale, tabnabbing, vulnerabilità che richiedono browser obsoleti
  • Enumeration di risorse pubbliche già progettate per essere pubbliche (username, ID post, ecc.)

🎁 Ricompense

Siamo trasparenti: Fiuto è un progetto indipendente con budget limitato. Non possiamo offrire le taglie delle big tech, ma ogni report valido riceve un riconoscimento reale. Quello che ti promettiamo: risposta veloce, correzione rapida, credito pubblico e — per le vulnerabilità più gravi — una ricompensa economica proporzionata a quello che ci possiamo permettere.

Critica
RCE, SQLi con esfiltrazione, auth bypass admin, leak massivo di PII, compromissione totale account
Buono Amazon €50 – €120 + menzione + swag
Alta
IDOR su dati utente, XSS stored, escalation privilegi, bypass parziale di auth, leak di token
Buono Amazon €20 – €50 + menzione + swag
Media
CSRF su azioni sensibili, XSS reflected, disclosure info non critica, logic bug sfruttabili
Menzione + swag
Bassa
Best-practice headers mancanti con impatto dimostrato, minor info disclosure
Menzione onorifica nella Hall of Fame

Cosa include ogni riconoscimento

  • 🏆 Menzione pubblica — Il tuo nome (o handle) nella Hall of Fame permanente su fiuto.app/bug-bounty, con data e severità del report.
  • 📜 Attestato di riconoscimento — PDF firmato e CVE credit quando applicabile, utile per il tuo portfolio / curriculum.
  • 🎨 Swag Fiuto — Sticker pack, toppa ricamata, e (per Alta/Critica) t-shirt "Fiuto Security Researcher" edizione limitata. Spediamo in tutto il mondo a spese nostre.
  • 🔓 Accesso anticipato — Early access a nuove feature e beta test privati.
  • 💬 Canale diretto — Linea diretta con il team tecnico per confrontarsi su future segnalazioni.
  • 🎟️ Buono regalo Amazon — Per vulnerabilità di severità Alta o Critica, invio via email del codice buono entro 30 giorni dalla validazione. Spendibile su Amazon.it o Amazon.com a tua scelta.
💚 Una nota a cuore aperto

Fiuto non è un prodotto aziendale né un progetto finanziato. È costruito da pochissime persone, nel tempo libero, spinte dall'idea che anche chi non sa di dover avere paura online meriti uno strumento che lo difenda. Per ora l'app è completamente gratuita e non ha nessuno scopo di lucro: non vendiamo dati, non ci sono abbonamenti premium, non facciamo pubblicità.

Questo significa che ogni euro che mettiamo nelle ricompense esce direttamente dalle nostre tasche. Le cifre che leggi sopra non sono quelle che vorremmo offrirti — sono quelle che, realisticamente, possiamo permetterci senza mettere a rischio la sostenibilità del progetto. Se un giorno Fiuto troverà un modello di sostenibilità economica (donazioni, grant, o un eventuale piano pro opzionale), le prime cose che cresceranno saranno proprio queste taglie.

Perché buoni Amazon e non bonifico o PayPal? Dietro Fiuto non c'è una società, una partita IVA o un'associazione con i requisiti per erogare compensi a ricercatori esterni. Pagare in denaro un servizio professionale — e una segnalazione di sicurezza lo è a tutti gli effetti — farebbe scattare obblighi fiscali che come volontari privati non possiamo sostenere: ritenute d'acconto, certificazioni uniche, gestione come sostituti d'imposta, dichiarazioni incrociate. Servirebbe una struttura legale che per ora non esiste. I buoni regalo Amazon, invece, rientrano nella categoria delle liberalità tra privati: sono un gesto di ringraziamento, non un compenso professionale, e possiamo gestirli senza creare problemi né a noi né a te. Il giorno in cui Fiuto avrà una struttura formale dietro, passeremo volentieri a pagamenti veri — è una promessa.

Se in un anno arrivassero molti report critici validi, potremmo essere costretti a ridurre proporzionalmente le cifre — e in quel caso te lo diremmo prima di validare il report, mai dopo. La menzione pubblica, lo swag e il riconoscimento del tuo lavoro invece non hanno tetti di budget: te li garantiamo a prescindere.

Se scegli di dedicarci il tuo tempo nonostante tutto questo, sappi che non lo diamo per scontato. Grazie. 🙏

📋 Regole del programma

  1. Segnala la vulnerabilità prima di divulgarla pubblicamente. Ti diamo 90 giorni di finestra di triage prima di qualunque disclosure coordinata.
  2. Non accedere, modificare o esfiltrare dati di altri utenti. Usa solo account di test creati da te.
  3. Non eseguire attacchi che degradino il servizio per utenti reali.
  4. Non lasciare backdoor, webshell o persistenza di alcun tipo dopo la validazione del PoC.
  5. Non richiedere compensi economici in cambio della divulgazione: questo è considerato estorsione e non rientra nel programma.
  6. Un solo report per vulnerabilità: il primo ricercatore che segnala in modo valido vince la taglia.
  7. Se in dubbio se qualcosa è in scope, scrivici prima di testare.

📬 Come segnalare

Scrivi a security@fiuto.app includendo:

  • Descrizione chiara della vulnerabilità
  • Passi per riprodurla (PoC minimo sufficiente, niente exploit estesi)
  • Impatto potenziale e tua stima di severità
  • Ambiente testato (browser, OS, versione app)
  • Il tuo handle pubblico per la Hall of Fame (opzionale)

Per segnalazioni particolarmente sensibili, possiamo fornire su richiesta una chiave PGP — scrivi prima senza dettagli per ottenerla.

72h
Prima risposta
7gg
Triage completo
30gg
Pagamento dopo fix
90gg
Disclosure coordinata

🏆 Hall of Fame

Nessun ricercatore ancora menzionato.

Sei nella prima ondata? Il tuo nome potrebbe essere qui.