Politica di divulgazione responsabile

Se ritieni di aver individuato una vulnerabilità di sicurezza su uno dei nostri siti web o nelle nostre app, ti invitiamo a comunicarcelo immediatamente. Esamineremo tutte le segnalazioni legittime e faremo tutto il possibile per risolvere rapidamente il problema. Tuttavia, prima di contattarci, leggere questa pagina e prestare attenzione alle istanze che non devono essere segnalate tramite questo canale.

Se desideri segnalare un altro tipo di problema, utilizza i collegamenti sotto per assistenza.

– LEGO® Account. Self-service su https://identity.lego.com
– Shop@home, VIP e altri problemi https://www.lego.com/service
– Servizio clienti https://www.lego.com/service
– Problemi di Privacy. Contattare il nostro responsabile della privacy come descritto su [https://www.lego.com/legal/legal-notice/privacy-policy4

Se si rispettano le politiche di seguito quando ci viene segnalato un problema di sicurezza, non avvieremo una causa legale o un’indagine delle autorità contro l’autore in risposta alla segnalazione. Chiediamo:

  • Che ci venga concesso tempo ragionevole per indagare e risolvere il problema segnalato prima di rendere pubbliche le informazioni sulla segnalazione o condividere tali informazioni con altri.
  • Di non interagire con un account individuale (che include la modifica o l’accesso ai dati dall’account) se il titolare dell’account non ha acconsentito a tali azioni.
  • Che gli utenti si impegnino in buona fede per evitare violazioni della privacy e disagi agli altri, inclusa (ma non limitata a) la distruzione dei dati e l’interruzione o il degrado dei nostri servizi.
  • Di non usare il problema di sicurezza scoperto per nessun motivo. (Ciò include la dimostrazione di rischi aggiuntivi, come tentativi di compromissione di dati aziendali sensibili o la richiesta di informazioni relative ad altri problemi.)
  • Di non violare altre leggi o regolamenti applicabili.

Non offriamo un programma bug bounty.

Fuori ambito

  • Spam o tecniche di social engineering.
    – Attacchi DOS (Denial-of-service)
  • Iniezione di contenuti. La pubblicazione di contenuti su LEGO.com è una funzionalità di base e l’iniezione di contenuti (anche “spoofing dei contenuti” o “iniezione HTML”) non rientra in questo ambito a meno che non si riesca a dimostrare chiaramente un rischio significativo.
  • Problemi di sicurezza in app o siti web di terze parti con marchio LEGO, tuttavia concessi in licenza da un partner. Questi non sono gestiti da noi e non rientrano in questo ambito secondo le nostre linee guida per i test di sicurezza.

Informazioni di contatto
——————–

– Email whitehat@lego.com

Si prega di fornire:

  • Descrizione del problema
  • Quando è stato riscontrato il problema
  • Come può essere riprodotto
  • Proposte su una possibile risoluzione del problema
  • Condivisione di script o tracce in rete

Se possibile, si preferiscono e-mail redatte in inglese, per una gestione più celere e agevole.