Home / Segnalazione Bug Bounty

Segnalazione Bug Bounty

Segnalazione Bug Bounty

Bentley si impegna a garantire la sicurezza dei dati dei suoi utenti e la trasparenza in questo ambito. Lo attestano i nostri solidi standard e certificazioni per la privacy e la protezione di dati, la sicurezza e la conformità.

Invia una segnalazione

Linee guida del programma Divulgazione responsabile di Bentley Systems

At Bentley Systems, we take the security of our systems and products seriously, and we value the security community. The disclosure of security vulnerabilities helps us ensure the security and privacy of our users. 

1. Linee guida generiche

Bentley Systems richiede a tutti i ricercatori di

  • Evitare le violazioni della privacy, il peggioramento dell'esperienza utente, l'interruzione dei sistemi di produzione e la distruzione dei dati durante i test di sicurezza.
  • Eseguire le ricerche solo nell'ambito del campo di applicazione indicato di seguito.
  • Utilizzare i canali di comunicazione definiti di seguito per segnalarci le informazioni sulla vulnerabilità.
  • Mantenere riservate le informazioni sulle vulnerabilità scoperte finché tali vulnerabilità non vengono risolte.
Se si seguono queste linee guida nel segnalare un problema, ci impegniamo a
 
  • Non perseguire o sostenere alcuna azione legale relativa alla ricerca effettuata.
  • Offrire la nostra collaborazione per comprendere e risolvere rapidamente il problema.

2. Codice di condotta e responsabilità legali

Quando viene eseguita una ricerca sulla vulnerabilità ai sensi della presente politica, consideriamo tale ricerca come

  • Authorized in accordance with the Computer Fraud and Abuse Act (CFAA) (or similar state laws), and we will not initiate or support legal action against you for accidental, good-faith violations of this policy.
  • Esente dal Digital Millennium Copyright Act (DMCA); pertanto, non avanzeremo alcuna richiesta di risarcimento nei confronti del ricercatore per l'elusione dei controlli tecnologici.
  • Exempt from restrictions in our Terms & Conditions that would interfere with conducting security research, and we waive those restrictions on a limited basis for work done under this policy.
  • Legittima, utile alla sicurezza generale di Internet ed eseguita in buona fede.

Il ricercatore è tenuto, come sempre, a rispettare tutte le leggi vigenti. In caso di dubbi o incertezze circa la conformità della ricerca sulla sicurezza alla presente politica, prima di procedere oltre, inviare una segnalazione attraverso uno dei nostri canali di comunicazione definiti di seguito.

3. Campo di applicazione / Fuori campo di applicazione

Ambito di applicazioneFuori campo di applicazione
  • Tutti i sottodomini _.bentley.com
  • Tutti i prodotti desktop di Bentley Systems (solo CONNECT Edition e versioni successive)
  • All Bentley Systems mobile apps (distributed only on Play and App stores)
  • Tutte le applicazioni e i servizi cloud di Bentley
  • All Bentley Open-Source Projects (including imodeljs.org)

4. Vulnerabilità ammissibili / Esclusioni

Vulnerabilità ammissibiliEsclusioni
    • Esecuzione di codice remoto
    • DLL hijacking
    • Injection SQL
    • Scripting intersito (XSS)
    • Identificazione e autenticazione
    • Riferimento a oggetti diretti non sicuri (IDOR)
    • Falsificazione di richieste tra siti (CSRF)
    • Attraversamento di directory
    • Esposizione di dati sensibili
    • Errata configurazione della sessione
    • Broken Access control (Privilege Escalation)
    • Errata configurazione della sicurezza
    • Condivisione di risorse tra le origini (CORS)
    • Reindirizzamento aperto
    • Problemi di logica aziendale
    • Hyperlink injection (if obfuscation is possible)
    • Problemi di Word-Press
    • Subdomain take over only after you see that subdomain is dangling at least for 1h. and provide screenshots. Actual takeover of reported subdomain as PoC is forbidden. 
  • DoS, and application-level DoS (unless the response is asymmetrical compared to the initial request)
  • Bug rilasciati pubblicamente nel software Internet entro 15 giorni dalla loro divulgazione
  • Self-XSS (è richiesta la prova del modo in cui XSS possa essere utilizzato per attaccare un altro utente)
  • CSRF without any security impact (e.g. Logout CSRF)
  • Attacchi correlati a X-Frame-Options (clickjacking)
  • Intestazione (a meno che non sia possibile dimostrare che tali attacchi possono causare un furto di dati dell'utente)
  • Problemi non sfruttabili, ma che portano a crash, stack trace e simili problemi di perdita di informazioni o di stabilità.
  • Esposizione della versione (a meno che non si fornisca un PoC di exploit funzionante).
  • Tutto ciò che sfrutta browser, piattaforme o criptovalute obsoleti (ad es. TLS BEAST, POODLE, ecc.)
  • Tecniche di spam o di ingegneria sociale, compresi i problemi relativi a SPF e DKIM
  • Rate limit vulnerability not on a login functionality (unless a valid exploit PoC provided)
  • Il file XMLRPC.php è abilitato e provoca un attacco DoS
  • Flag dei cookie mancanti sui cookie non sensibili
  • Intestazioni di sicurezza mancanti che non causano direttamente una vulnerabilità (a meno che non si fornisca un PoC)
  • Anything from an automated scan
  • Anything that is public by default (e.g. public keys, config files without sensitive information, etc.)
  • Anything not under Bentley Systems control (e.g. Google Analytics, etc.)
  • Problemi teorici che mancano di gravità pratica
  • Bug di UI e UX ed errori di ortografia
  • Credentials found at breach forums like [https://breachforums.st, https://phonebook.cz] etc.
  • CAA certificate missing
  • User enumeration in WP, when only a few Bentley employees, who posted on the website, are exposed
  • Origin IP exposure
  • Misconfigurations on non-resolving URLs
  • AppInsights key exposure
  • LaunchDarkly key exposure
  • BingMap key exposure

5. Come effettuare la segnalazione

Se si ritiene di aver trovato una vulnerabilità della sicurezza in uno dei nostri prodotti o piattaforme, compilare il modulo in questa pagina. 

A good practice is to think whether the discovered vulnerability puts at risk:

  • Bentley Systems clients’ information.
  • Bentley Systems software.
  • Bentley Systems reputation.

Assicurarsi di aver incluso le seguenti informazioni:

  • Descrizione dettagliata della vulnerabilità contenente informazioni quali URL, richiesta/risposta HTTP completa e tipo di vulnerabilità.
  • Information necessary to reproduce the issue.
  • Proof of concept including practical severity and attack scenario, indication of a potential risk only is hard to evaluate and usually such report is not approved.
  • If applicable, a screenshot and/or video of the vulnerability.
  • Informazioni di contatto, nome, e-mail, numero di telefono, località. Le segnalazioni prive di queste informazioni non saranno prese in considerazione.
  • IMPORTANT NOTE. You may only make the initial submission through the form. If you have any questions not mentioned in a form, please e-mail us at security@bentley.com.

6. Regolamento

  • Il DoS è severamente vietato.
  • È severamente vietata qualsiasi forma di applicazione di forza bruta alle credenziali.
  • È vietata la divulgazione pubblica di una vulnerabilità segnalata prima che sia stata risolta.
  • Non è consentito danneggiare o degradare le prestazioni dei nostri sistemi o violare la privacy dei nostri utenti o l'integrità dei loro dati.
  • Lo sfruttamento delle vulnerabilità (diverso da un PoC generico) è severamente vietato e sarà perseguito secondo le leggi vigenti.
  • Se una vulnerabilità consente l'accesso ai dati in modo non intenzionale, è necessario
    • Limitare la quantità di dati a cui si accede al minimo necessario per dimostrare efficacemente una prova di fattibilità;
    • Interrompere i test e
    • Inoltrare immediatamente una segnalazione se durante i test vengono rilevati dati dell'utente, come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dati di carte di credito o informazioni proprietarie.
  • Bentley non risponderà a tentativi di estorsione o altri atti coercitivi e criminali (ad esempio, richieste di pagamento anticipato in cambio del mancato sfruttamento di una vulnerabilità rilevata.

7. Divulgazione pubblica

A meno che il nostro team non comunichi che la vulnerabilità è stata risolta, si invita a non divulgare pubblicamente la vulnerabilità per 90 giorni. In caso contrario, verrà avviata un'azione legale.

8. Duplicati

  • Only the first researcher to report an issue will be entitled for a reward.
  • The reports of the same issue in different environments are not rewarded and closed as duplicates. (e.g. dev-*-bentley.com, qa- dev-*-bentley.com, prod- dev-*-bentley.com) 
  • The reports of the same issue in different deployment regions are not rewarded and closed as duplicates. (e.g. *.us.bentley.com, *.eus-bentley.com, *.in.-*-bentley.com)
  • Multiple instances of the same issue will only be compensated to a max of 3x the reward sum. (e.g. expires SSL certificate on 25 domain and subdomains will count 3×100 USD, and not 25×100 USD)

9. Classificazione delle vulnerabilità

Una volta ricevuta la segnalazione:
  • La vulnerabilità segnalata verrà analizzata.
  • You will be informed if the issue is closed without a reward. We do not send a detailed explanation of the resolution.
  • If we determine the submission is valid and meets the requirements of this policy, you may receive a reward after the fix is implemented. Our commitment is to reward your efforts within 90 days.

10. Retribuzione

The compensation for a security report submitted by a third-party researcher is determined based on the level of risk posed by the identified vulnerability. This means that the reward can vary significantly [or be denied], depending on the potential impact and severity of the issue. While there may be a general range of compensation provided for reference, it is important to understand that each case is evaluated individually. 

To further encourage security researchers and acknowledge your valuable contributions, Bentley Systems has decided to double the rewards for eligible security reports in Q4. This initiative aims to foster greater engagement and incentivize the discovery of critical vulnerabilities, ensuring the continued safety and reliability of Bentley’s products and services.

All reports received in Q4 2025 will be doubled.

Esempi di vulnerabilità Fascia di prezzo (USD)** 2025 Q4 Price Range (USD)**
Broken Access control (Privilege Escalation) 250-450 500-900
Problemi di logica aziendale 100-300 200-500
Cross-Origin Resource Sharing (CORS) 100-200 200-400
Falsificazione di richieste tra siti (CSRF) 150-250 300-500
Scripting intersito (XSS) 100-200 200-400
DLL hijacking 50 100
Injection di collegamenti ipertestuali 50 100
Identificazione e autenticazione 250-450 500-900
Insecure Direct Object Reference (IDOR) 250-450 500-900
Reindirizzamento aperto 50-150 200-300
Altro 0-500 100-600
Esecuzione di codice remoto 600 1200
Errata configurazione della sicurezza 50-250 100-500
Esposizione di dati sensibili 50-200 100-400
Secrets leak 200-500 400-1000
Errata configurazione della sessione 50-200 100-400
Injection SQL 250-500 500-1000
NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following:
  • report was submitted by current of former employee of Bentley Systems
  • report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
  • report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
  • report was submitted by the employee of the company that is a Bentley System’s service provider.
  • report was submitted by an individual residing in a country that is currently subject to international sanctions.
  • Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.
**Si noti che eventuali istanze multiple dello stesso problema saranno retribuite solo fino a un massimo di 3 volte il prezzo.
**Reports for an issue in different environments of the product (dev-, qa-, prod-) will be counted as one. We reserve the right to change this policy at any time and for any reason and cannot guarantee compensation for all reports. Compensation is only provided through PayPal.  IMPORTANT. Please make sure to send only a valid PayPal address: we will be unable to consider addresses other than the original for payment. If the transaction fails for any reason (i.e. PayPal refuses the transaction; receiving bank cannot accept payment; max amount limit is reached, acceptance of payments only through the website or other instructions, etc.), the payment will be cancelled and will not be resubmitted. Bentley Systems reserves the right to withdraw the Responsible Disclosure Program and its compensation system at any time without prior notice.

Invia una segnalazione

Indice dei contenuti

Bentley Systems richiede a tutti i ricercatori di

  • Evitare le violazioni della privacy, il peggioramento dell'esperienza utente, l'interruzione dei sistemi di produzione e la distruzione dei dati durante i test di sicurezza.
  • Eseguire le ricerche solo nell'ambito del campo di applicazione indicato di seguito.
  • Utilizzare i canali di comunicazione definiti di seguito per segnalarci le informazioni sulla vulnerabilità.
  • Mantenere riservate le informazioni sulle vulnerabilità scoperte finché tali vulnerabilità non vengono risolte.
Se si seguono queste linee guida nel segnalare un problema, ci impegniamo a
 
  • Non perseguire o sostenere alcuna azione legale relativa alla ricerca effettuata.
  • Offrire la nostra collaborazione per comprendere e risolvere rapidamente il problema.

Quando viene eseguita una ricerca sulla vulnerabilità ai sensi della presente politica, consideriamo tale ricerca come

  • Autorizzata in conformità al Computer Fraud and Abuse Act (CFAA) (o leggi statali simili); pertanto, non avvieremo o sosterremo azioni legali contro il ricercatore per violazioni accidentali e in buona fede della presente politica.
  • Esente dal Digital Millennium Copyright Act (DMCA); pertanto, non avanzeremo alcuna richiesta di risarcimento nei confronti del ricercatore per l'elusione dei controlli tecnologici.
  • Esente da restrizioni nei nostri Termini e condizioni che interferirebbero con l'esecuzione di ricerche sulla sicurezza; pertanto, rinunciamo a tali restrizioni su base limitata per il lavoro svolto nell'ambito della presente politica.
  • Legittima, utile alla sicurezza generale di Internet ed eseguita in buona fede.

Il ricercatore è tenuto, come sempre, a rispettare tutte le leggi vigenti. In caso di dubbi o incertezze circa la conformità della ricerca sulla sicurezza alla presente politica, prima di procedere oltre, inviare una segnalazione attraverso uno dei nostri canali di comunicazione definiti di seguito.

Ambito di applicazione
  • Tutti i sottodomini _.bentley.com
  • Tutti i prodotti desktop di Bentley Systems (solo CONNECT Edition e versioni successive)
  • Tutte le app mobili di Bentley Systems
  • Tutte le applicazioni e i servizi cloud di Bentley
  • Tutti i progetti open source di Bentley (compreso imodeljs.org)
Fuori campo di applicazione
Vulnerabilità ammissibili
  • Broken Access Control (Escalation dei privilegi)
  • Problemi di logica aziendale
  • Condivisione di risorse tra le origini (CORS)
  • Falsificazione di richieste tra siti (CSRF)
  • Scripting intersito (XSS)
  • Attraversamento di directory
  • DLL hijacking
  • Injection di collegamenti ipertestuali
  • Identificazione e autenticazione
  • Riferimento a oggetti diretti non sicuri (IDOR)
  • Reindirizzamento aperto
  • Altro
  • Esecuzione di codice remoto
  • Errata configurazione della sicurezza
  • Esposizione di dati sensibili
  • Errata configurazione della sessione
  • Injection SQL
  • Acquisizione di un sottodominio*
  • Problemi di Word-Press
Esclusioni
  • Bug rilasciati pubblicamente nel software Internet entro 15 giorni dalla loro divulgazione
  • Tecniche di spam o di ingegneria sociale, compresi i problemi relativi a SPF e DKIM
  • Self-XSS (è richiesta la prova del modo in cui XSS possa essere utilizzato per attaccare un altro utente)
  • Attacchi correlati a X-Frame-Options (clickjacking)
  • Vulnerabilità del limite di velocità (a meno che non venga fornito un exploit PoC valido)
  • Il file XMLRPC.php è abilitato e provoca un attacco DoS
  • Flag dei cookie mancanti sui cookie non sensibili
  • Intestazioni di sicurezza mancanti che non causano direttamente una vulnerabilità (a meno che non si fornisca un PoC)
  • Injection di intestazioni (a meno che non sia possibile dimostrare che tali attacchi possono causare un furto di dati dell'utente)
  • Esposizione della versione (a meno che non si fornisca un PoC di exploit funzionante).
  • Problemi non sfruttabili, ma che portano a crash, stack trace e simili problemi di perdita di informazioni o di stabilità.
  • Denial of Service
  • Tutto ciò che sfrutta browser, piattaforme o criptovalute obsoleti (ad es. TLS BEAST, POODLE, ecc.)
  • Qualsiasi minaccia proveniente da una scansione automatizzata, già pubblica o non sotto il controllo di Bentley Systems (ad es. Google Analytics, ecc.)
  • Problemi teorici che mancano di gravità pratica

*Effettuare le segnalazioni solo dopo aver ottenuto un PoC sotto forma di due screenshot con timestamp e un sottodominio. Tali screenshot devono dimostrare che il sottodominio è stato libero per almeno un'ora. Gli strumenti di scansione spesso catturano il breve periodo di tempo in cui vengono eseguite le modifiche al sottodominio, cosa che può sembrare una vulnerabilità ma non lo è: il record DNS viene eliminato poco dopo. L'invio degli screenshot eviterà la segnalazione di false vulnerabilità, evitando perdite di tempo sia al ricercatore che al nostro team.

Le segnalazioni con un PoC parziale (una prova con un solo timestamp o nessun timestamp) non saranno trattate come Prima segnalazione.

Nota bene! È vietata l'acquisizione del sottodominio segnalato come PoC.

Se si ritiene di aver trovato una vulnerabilità della sicurezza in uno dei nostri prodotti o piattaforme, compilare il modulo in questa pagina.

Assicurarsi di aver incluso le seguenti informazioni:

  • Descrizione dettagliata della vulnerabilità contenente informazioni quali URL, richiesta/risposta HTTP completa e tipo di vulnerabilità.
  • Informazioni necessarie per riprodurre il problema.
  • Se applicabile, uno screenshot e/o un video della vulnerabilità.
  • Informazioni di contatto, nome, e-mail, numero di telefono, località. Le segnalazioni prive di queste informazioni non saranno prese in considerazione.
  • NOTA IMPORTANTE. È possibile effettuare la segnalazione iniziale solo attraverso il modulo. Per eventuali domande non menzionate nel modulo, inviare un'e-mail all'indirizzo security@bentley.com.
  • Il DoS è severamente vietato.
  • È severamente vietata qualsiasi forma di applicazione di forza bruta alle credenziali.
  • È vietata la divulgazione pubblica di una vulnerabilità segnalata prima che sia stata risolta.
  • Non è consentito danneggiare o degradare le prestazioni dei nostri sistemi o violare la privacy dei nostri utenti o l'integrità dei loro dati.
  • Lo sfruttamento delle vulnerabilità (diverso da un PoC generico) è severamente vietato e sarà perseguito secondo le leggi vigenti.
  • Se una vulnerabilità consente l'accesso ai dati in modo non intenzionale, è necessario
    • Limitare la quantità di dati a cui si accede al minimo necessario per dimostrare efficacemente una prova di fattibilità;
    • Interrompere i test e
    • Inoltrare immediatamente una segnalazione se durante i test vengono rilevati dati dell'utente, come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dati di carte di credito o informazioni proprietarie.
  • Bentley non risponderà a tentativi di estorsione o altri atti coercitivi e criminali (ad esempio, richieste di pagamento anticipato in cambio del mancato sfruttamento di una vulnerabilità rilevata.

A meno che il nostro team non comunichi che la vulnerabilità è stata risolta, si invita a non divulgare pubblicamente la vulnerabilità per 90 giorni. In caso contrario, verrà avviata un'azione legale.

Ai sensi della presente politica, verrà preso in considerazione solo il primo ricercatore che segnala un problema o problemi simili. Ciò include le segnalazioni dello stesso problema in ambienti diversi (ad esempio, dev-, qa-, prod-).

Una volta ricevuta la segnalazione:

  • La vulnerabilità segnalata verrà analizzata.
  • Se riteniamo che la segnalazione sia valida e soddisfi i requisiti della presente politica, si riceverà una retribuzione.
  • Si verrà informati quando il problema sarà risolto.
Esempi di vulnerabilitàFascia di prezzo (USD)**2025 Q4 Price Range (USD)**
Broken Access control (Privilege Escalation)250-450500-900
Problemi di logica aziendale100-300200-500
Cross-Origin Resource Sharing (CORS)100-200200-400
Falsificazione di richieste tra siti (CSRF)150-250300-500
Scripting intersito (XSS)100-200200-400
DLL hijacking50100
Injection di collegamenti ipertestuali50100
Identificazione e autenticazione250-450500-900
Insecure Direct Object Reference (IDOR)250-450500-900
Reindirizzamento aperto50-150200-300
Altro0-500100-600
Esecuzione di codice remoto6001200
Errata configurazione della sicurezza50-250100-500
Esposizione di dati sensibili50-200100-400
Secrets leak200-500400-1000
Errata configurazione della sessione50-200100-400
Injection SQL250-500500-1000

**Si noti che eventuali istanze multiple dello stesso problema saranno retribuite solo fino a un massimo di 3 volte il prezzo.

**Le segnalazioni di un problema in ambienti diversi del prodotto (dev-, qa-, prod-) saranno conteggiate una sola volta.

Ci riserviamo il diritto di modificare la presente politica in qualsiasi momento e per qualsiasi motivo e non possiamo garantire la retribuzione per tutte le segnalazioni. La retribuzione è prevista solo tramite PayPal. 

IMPORTANTE. Assicurarsi di inviare un solo indirizzo PayPal valido: non prenderemo in considerazione indirizzi diversi da quello originale per il pagamento. In caso di esito negativo della transazione per qualsiasi motivo (ad esempio, PayPal rifiuta la transazione; la banca ricevente non accetta il pagamento; è stato raggiunto il limite massimo dell'importo; l'accettazione dei pagamenti avviene solo attraverso il sito web o altre istruzioni, ecc.), il pagamento sarà annullato e non verrà inviato nuovamente.

Bentley Systems si riserva il diritto di ritirare il programma Divulgazione responsabile e il relativo sistema di retribuzione in qualsiasi momento e senza preavviso.

20% di sconto sui software di Bentley

L'offerta termina venerdì

Usa il codice coupon "THANKS24"

Acquista ora