Responsible Disclosure

Nell’eventualità in cui un cliente, un ricercatore o un esperto rilevasse una o più vulnerabilità riguardanti i seguenti ambiti:

• Portali TIM (ad es. www.tim.it, www.gruppotim.it, etc.)
• Applicazioni mobili a marchio TIM e pubblicate sugli store ufficiali (ad es. TIM Music, My TIM Fisso, TIM Telefono)
• Dispositivi a marchio TIM (ad es. decoder TIM Vision, modem-router ADSL con l'esclusione dei cellulari)
• Apparati della rete TIM fissa e mobile (ad es. router, bilanciatori)

può segnalarle a TIM secondo la procedura descritta di seguito.

Utilizzando la procedura di Responsible Disclosure, chi segnala la vulnerabilità del sistema si impegna, nei confronti di TIM, ad effettuare una divulgazione responsabile così da non esporre altri clienti a rischi di sicurezza non necessari.

Il segnalante deve tuttavia astenersi da qualsiasi attività che potrebbe comportare disservizi o perdita di dati relativamente ai sistemi e servizi coinvolti nella segnalazione, limitandone l’uso al minimo necessario e astenendosi dall’accedere a dati non strettamente necessari a dimostrare la vulnerabilità e comunque nel rispetto di quanto previsto dalla policy in oggetto. Non è ammesso l’uso di tool di scansione intensivi o invasivi.

La Responsible Disclosure implica inoltre che il segnalante non abbia spiato o divulgato dati di terze parti senza il loro consenso.

In particolare chi avvia la procedura deve:

Inviare la segnalazione all’indirizzo email responsible-disclosure@telecomitalia.it con le seguenti informazioni:

• Propri dati identificativi (nome, cognome ed eventuale organizzazione per cui lavora)
• Il tipo di vulnerabilità rilevata
• Il servizio/apparato/applicazione impattato dalla falla
• La descrizione dettagliata della problematica (al fine di poterla riprodurre)
• L'indirizzo IP da cui è stata scoperta la vulnerabilità e la data/ora di rilevamento
• Un archivio/zip di tutti i file che possono aiutare a riprodurre la problematica (es. immagini, file di testo con descrizione di dettaglio, PoC, codice sorgente, script, file pcap, log, indirizzi IP sorgenti utilizzati, …). Le dimensioni massime dell’archivio non possono superare i 10MB. Se si protegge l’archivio con una password, occorre fornirla nel testo della mail.
• Il consenso o meno a comunicare i propri dati all’eventuale produttore della tecnologia coinvolta dalla segnalazione, per una possibile interazione diretta.
• La disponibilità ad essere inseriti nella sezione Hall of Fame della Responsible Disclosure di TIM , in cui gli autori delle segnalazioni vengono menzionati e ringraziati pubblicamente per i contributi forniti. Specificare un contatto personale da aggiungere al Nome e Cognome, se si desidera.
• Chi avvia la procedura di Responsible Disclosure può cifrare la mail usando la seguente chiave pubblica:
  PGP key: 0x68DEAD71
  Fingerprint:
  0184D9E3E0CACB6F6E9A813BDE90CF9768DEAD71

Mantenere strettamente riservate e segrete le vulnerabilità scoperte, impegnandosi a non rivelarle o altrimenti renderle disponibili a terzi, per un periodo comunque non inferiore a 90 giorni, per consentire a TIM di individuare ed applicare le opportune contromisure. In caso di situazioni particolarmente complesse, TIM si riserva di estendere tale periodo, dandone opportuna informativa a chi ha inviato la segnalazione.

Nel caso in cui fosse una persona giuridica (pubblica o privata), un ente, un consorzio o altra forma associativa, chi invia la segnalazione si impegna a limitare l'accesso alle informazioni sulle vulnerabilità rilevate ai soli propri dipendenti e nella misura strettamente necessaria per la propria attività, provvedendo comunque a porre in essere tutte le misure idonee ed adeguate ad assicurare la riservatezza ed i suddetti limiti d’accesso e d’uso delle informazioni sulle falle scoperte.

Una volta ricevuta la segnalazione, TIM si impegna a:

1. inviare una prima mail di riscontro con cui comunica che la segnalazione è stata ricevuta, cui farà seguito entro 10 giorni una successiva mail sulla pertinenza della segnalazione rispetto al processo Responsible Disclosure e sull’esito dell’analisi preliminare effettuata da TIM;
2. gestire la segnalazione in maniera adeguata per rispettare i tempi indicati e, in caso di segnalazione eleggibile relativa a vulnerabilità non già in corso di risoluzione, a ringraziare pubblicamente l'autore nella sezione ”Hall of Fame” se questo ha fornito la sua autorizzazione.

TIM non prevede ricompense economiche; inoltre si riserva la possibilità di non gestire segnalazioni che non soddisfano i criteri qui indicati.

TIM sottolinea l’importanza di assumere un atteggiamento responsabile anche dopo il rilascio della patch in quanto il suo processo di dispiegamento può essere lungo e complesso. Pertanto si chiede di valutare con attenzione il tipo di informazioni rilasciate al riguardo, sempre con l’obiettivo di preservare la sicurezza degli utenti.

Di seguito sono forniti alcuni esempi di Categorie di vulnerabilità considerate come eleggibili per la pubblicazione nella Hall of Fame:

• Cross Site Scripting (XSS)
• Cross Site Request Forgery (CSRF)
• Injection (ad es. SQL injection, user input)
• Broken Authentication and Session Management
• Broken Access Control
• Security Misconfiguration
• Redirect / Man in the Middle attacks
• Remote code execution
• Underprotected API
• Privilege Escalation

Sono invece escluse dall’iniziativa di Responsible Disclosure, e quindi considerate non eleggibili alla pubblicazione nella Hall of Fame, le seguenti casistiche:

• aspetti non inerenti la sicurezza (es. indisponibilità dei servizi, bug di GUI, ecc.) e gestibili quindi attraverso i canali tradizionali di customer care quali il 187, 119 e 191;
• problematiche di phishing/spam e vulnerabilità inerenti tecniche di social engineering da segnalare alla casella abuse@telecomitalia.it o tramite la form che si trova alla pagina
  https://www.gruppotim.it/it/footer/form-abuse.html
• esiti di tool automatici di vulnerability assessment/penetration testing (es Nessus, nmap…).
• segnalazioni su configurazioni deboli del protocollo TLS piuttosto che in merito al mancato rispetto di best practice, quali ad esempio il non utilizzo di security headers.

TIM si riserva la possibilità di aggiornare, in qualunque momento, la procedura di Responsible Disclosure sopra descritta.

Ringraziamo pubblicamente tutti coloro che contribuiscono, in maniera responsabile, a proteggere i nostri Clienti, migliorando la sicurezza dei nostri servizi e prodotti.

2024

• Adrián Pérez Ruiz, linkedin.com/in/adrian-perez-ruiz | Underprotected API
• Amir Abdelnaby | facebook.com/profile.php?id=100084565671233&mibextid=ZbWKwL | Underprotected API
• Amir Habeeb, linkedin.com/in/amir-habeeb-5a0aba259 | Underprotected API
• Arjama Saha,  linkedin.com/in/arjama-saha-059407121/ | Cross-site scripting (XSS)
• Bruno Garcia, linkedin.com/in/bruno-g-a4201610a | Remote Code Execution 
• Everton Hydd3n, linkedin.com/in/everton-hydd3n | Security misconfiguration
• Gaurang Maheta, linkedIn.com/in/gaurang883 | Security Misconfiguration
• Jay Mehta, linktr.ee/heromehta | Security Misconfiguration, Cross-Site Scripting
• Keyur Maheta, linkedin.com/in/keyur-maheta-342720256/ | Security Misconfiguration
• Mipam Ludwig Uderzo, linkedin.com/in/mipam-ludwig-uderzo-49099820b/| Remote Code Execution e SQL Injection
• Patrick Justin Ciurdas, linkedin.com/in/ciurdaspatrickjustin| Unprotected API
• Simone Quatrini | Cross-Site Scripting (XSS) , Security Misconfiguration

2023

• Agrim Dua, www.linkedin.com/in/agrim-dua-960b00243 | Broken Authentication and Session Management
• Anthony Richa, FB.com/AnT00961 | Broken Authentication and Session Management
• Banavath Aravind, www.linkedin.com/in/aravindb26/ | Security Misconfiguration
• Clandestine, twitter.com/akaclandestine | Cross Site Scripting (XSS)
• Domenico Veneziano, linkedin.com/in/domenico-veneziano | Server-Side Request Forgery (SSRF)
• Gaetano Perrone, www.linkedin.com/in/gaetano-perrone-60520961/ | Multiple Security Misconfiguration
• Gaurang Maheta, Linkedin.com/in/gaurang883 | Security Misconfiguration
• Harsh Dinesh bhai maheta, www.linkedin.com/in/harsh-dineshbhai-maheta-348b551a2 | Outdated software
• Jay Mehta, twitter.com/MrHacke01443999| Security Misconfiguration
• Mipam Ludwig Uderzo, www.linkedin.com/in/mipam-ludwig-uderzo-49099820b | Cross Site Scripting (XSS)
• Mohammadreza Sarayloo, www.linkedin.com/in/mohammadreza-sarayloo | Security Misconfiguration
• Muhammed Ashique, www.linkedin.com/in/ashq/ | Cross Site Scripting (XSS)
• Nilabh Rajpoot, linkedin.com/in/nilabh-rajpoot-6694131bb | Outdated software
• Patrick Justin Ciurdas, www.linkedin.com/in/ciurdaspatrickjustin/ | Security Misconfiguration
• Rock Pratap Singh, www.linkedin.com/in/rock-pratap-singh-92a28928b | Security Misconfiguration
• Simone Quatrini, www.surecloud.com/resources/blog | Multiple Security Misconfiguration, Cross Site Scripting (XSS), Redirect
• Syed Ahmed, linkedin.com/in/budsec | Security Misconfiguration
• tuo4n8,  vsrc.vng.com.vn | Outdated software
• Tushar Vaidya, www.linkedin.com/in/tushar-vaidya-2111s5 | Cross Site Scripting (XSS)
• Varel Valensio, linkedin.com/in/varel-valensio | Security Misconfiguration
• Vu Van Tien, www.linkedin.com/in/n0-be3r | Security Misconfiguration

2022

• Abdelrahman Tarek, https://twitter.com/0xAT7 | Security Misconfiguration
• Andrea Santese, www.linkedin.com/in/medu554 | Security Misconfiguration, Cross Site Scripting (XSS)
• Anthony Richa, FB.com/AnT00961 | Broken Authentication and Session Management
• Donato Scaramuzzo, www.linkedin.com/in/donato-scaramuzzo-1911b83a | Cross Site Scripting (XSS)
• Ekin Şiar Bayer, twitter.com/EkinBayer4 | Outdated software
• Gaurang Maheta, www.linkedin.com/in/gaurang883 | Cross Site Scripting (XSS), Multiple Security Misconfigurations
• Giacomo Sighinolfi, www.linkedin.com/in/giacomo-sighinolfi-392146119 | Cross Site Scripting (XSS)         
• Ivo de Abreu Araújo, https://www.linkedin.com/in/ivoaabreu | Multiple Cross Site Scripting (XSS)
• Ken Kaneki, twitter.com/aoxsin | Security Misconfiguration
• Krishna Agarwal, www.linkedin.com/in/kr1shna4garwal | Redirect
• Lorenzo Toti, www.linkedin.com/in/lorenzo-toti-b0a939163 | Cross Site Scripting (XSS), Multiple Security Misconfigurations
• Michele  Carone, www.linkedin.com/in/michele-carone-750a5683 | Multiple Cross Site Scripting (XSS) 
• Mipam Ludwig Uderzo, www.linkedin.com/in/mipam-ludwig-uderzo-49099820b | Cross Site Scripting (XSS)
• Mohammadreza Sarayloo, www.linkedin.com/in/mohammadreza-sarayloo | Redirect, Security Misconfiguration
• Nguyen Anh Tuan, twitter.com/_nhiephon| Cross Site Scripting (XSS)
• Nicola Concas, www.linkedin.com/in/nicolaconcas | Security Misconfiguration
• Ramon Dunker, www.linkedin.com/in/ramondunker | Remote code execution
• Ritu raj Choudhary, www.linkedin.com/in/ritu-raj-choudhary-44202620b | HTML Code injections
• Roshan Zameer, www.linkedin.com/mwlite/in/roshan-zameer-97a8531b9 | Security Misconfiguration
• Savino Sisco, www.linkedin.com/in/savino-sisco | Multiple Outdated software, Security Misconfiguration
• Shreyas Ghevariya, www.linkedin.com/in/shreyas-ghevariya-752b96227/| Security Misconfiguration
• Shruti Kapoor, www.linkedin.com/in/shruti-kapoor-b9b0b617a | Security Misconfiguration
• Simone Paganessi, www.linkedin.com/in/simonepaganessi | Outdated software
• Simone Quatrini, www.surecloud.com/resources/blog | Security Misconfiguration
• Valerio Casalino, www.linkedin.com/in/valerio-casalino | Multiple Outdated software, Security Misconfiguration

2021

• Abhijith A, www.linkedin.com/in/abhijith-a-559b761aa | Clickjacking
• Andrea Cappa, twitter.com/zi0Black |  HTML Code Injection
• Anthony Richa, FB.com/AnT00961 | Broken Authentication and Session Management
  
• Antonio Rocco Spataro, it.linkedin.com/in/antonio-rocco-spataro-9007a6175 |Security Misconfiguration
  
• Dan Fabro, https://dnx.zone | XSS vulnerability
  
• Donato Di Pasquale, www.linkedin.com/in/ddipa/ | Redirect, Security Misconfiguration
• Enes Saltik, twitter.com/EnesSaltk7 | Cross Site Scripting (XSS)
• Francesco Ferreri, twitter.com/@MindOverflow42 | HTML Code Injection
• Gaurang Maheta, www.linkedin.com/in/gaurang883 | Security Misconfiguration, Outdated software
  
• George Crook, www.linkedin.com/in/georgecrook | Clickjacking, Multiple Security Misconfigurations
  
• Joaquín López-Cortijo Guijarro, j.lopez@hounder.io | Cross Site Scripting (XSS)
  
• Krishna Kaiwartya, www.linkedin.com/in/krishna-kaiwartya-a170a21ba | Security Misconfiguration
  
• Lavan Kumar, www.linkedin.com/in/lavan-kumar-71001a74 | Redirect
  
• Marco Ilardi, twitter.com/ila_marco_ | HTML Code Injection
• Mipam Ludwig Uderzo, linkedin.com/in/mipam-ludwig-uderzo-49099820b |Cross Site Scripting (XSS)
  
• Mirko Caruso, www.linkedin.com/in/mirko-caruso | Security Misconfiguration
• Nguyen Anh Tuan, twitter.com/_nhiephon | Redirect, XSS vulnerability, Multiple Remote code execution
• Patrizio Tufarolo, www.linkedin.com/in/patriziotufarolo | Security Misconfiguration
  
• Prince Prafull, www.linkedin.com/in/prince-prafull-19a477194 | Security Misconfiguration
  
• Ridoy Khan | Security Misconfiguration
• Sanket Ambalkar, www.linkedin.com/in/sanket-ambalkar-70211518b/ | Security Misconfiguration
  
• Shay Ben Tikva | Cross Site Scripting (XSS)
• Sheikh Rishad, twitter.com/sheikhrishad0 | Security Misconfiguration
• Simone Quatrini | Broken Authentication and Session Management
• Taha Bıyıklı, linkedin.com/in/tahabykl | HTML Code injections
  
• Vijay Sutar, twitter.com/VijaySu25711066 | Security Misconfiguration
  

2020

• Alessandro Braccio | Broken Access Control
• Alessio Della Libera, www.linkedin.com/in/alessiodellalibera | XSS vulnerability
  
• Andrei Manole, www.linkedin.com/in/iulian-manole | Security Misconfiguration
• Antonio Cannito, https://antoniocannito.it | Broken Authentication and Session Management
  
• BabaBounty, https://www.linkedin.com/in/rohan-chaudhari-53aa51174 | XSS vulnerability
• Emad Youssef, twitter.com/Sy3Omda|Security Misconfiguration
• Fabio Mariani, www.linkedin.com/in/fabio-mariani-ab49641a4/ | XSS vulnerability
• Felipe Renzi, twitter.com/Renzi25031469 | Security Misconfiguration
  
• Filippo Sorbellini, sorby.me | Broken Access Control
• Flavio Baldassi, www.linkedin.com/in/flavio-baldassi | Security Misconfiguration
  
• Florian Kunushevci, www.linkedin.com/in/floriankunushevci | XSS vulnerability
• Gourab Sadhukhan, www.linkedin.com/in/gourab-sadhukhan-71158216a | Security Misconfiguration
• Ismail Tasdelen, www.linkedin.com/in/ismailtasdelen | Security Misconfiguration
• Lütfü Mert Ceylan, https://lutfumertceylan.com.tr | XSS vulnerability
• Marco Nappi, www.linkedin.com/in/marco-nappi-a58224157 |  XSS vulnerability
• Mauro Piva, www.linkedin.com/in/pivamauro | Underprotected API
• Mehmet Can GÜNEŞ, twitter.com/mehmetcangunes | Security Misconfiguration
• Mohd Asif Khan, www.linkedin.com/in/mohd-asif-khan-%E2%9C%AA-5228a9179/ | Security Misconfiguration
• Muhammad Hassam, www.linkedin.com/in/muhammad-hassam-arif-19b790163 | Security Misconfiguration
• Nirjhar Banik, www.linkedin.com/in/neerjhar/ | Security Misconfiguration
• Pierpaolo Palmisano, https://it.linkedin.com/in/pierpaolo-palmisano-27ab0b8b | Broken Access Control
• Pratik Khalane, www.linkedin.com/in/pratik-khalane | Security Misconfiguration
• Pritam Mukherjee, www.linkedin.com/in/pritam-mukherjee-urvil-b75ab9b9 | Clickjacking
• Reando Veshi, www.linkedin.com/in/reajpr/ | Broken Access Control, Multiple Security Misconfigurations
• Robert Aaron, www.linkedin.com/in/robert-aaron-14735b188 | Security Misconfiguration
• Siddharth Bose, www.linkedin.com/in/siddharth-bose-406180191 | Security Misconfiguration
• Simone Quatrini | Multiple Security Misconfigurations
• Souvik Mondal, www.linkedin.com/in/souvik-mondal-8b3a0a1b3/ | Multiple Security Misconfigurations, Clickjacking
• Umesh Prakash Jore, www.linkedin.com/in/umesh-prakash-j-55015194 | Security Misconfiguration
  
• Vaibhav Atkale, www.linkedin.com/in/vaibhav-atkale-b844b8169 | Multiple Security Misconfigurations
• Valerio Alessandroni, www.linkedin.com/in/valerio-alessandroni | Security Misconfiguration
  

2019

• Alessandro Groppo, it.linkedin.com/in/alessandro-groppo-1a0429146 | Underprotected API
• Andrea Bocchetti, https://www.linkedin.com/in/andreabocchetti | Security Misconfiguration
  
• Andrea Guglielmini, www.linkedin.com/in/andrea-g-563626112 | XSS vulnerability
• Andrei Conache, http://linkedin.com/in/andrei-conache | Multiple XSS vulnerabilities
• Andrei Manole, www.linkedin.com/in/andrei-manole-81626090 | SQL injection
• Antonio Arlia Ciombo, www.linkedin.com/in/antonio-arlia-ciombo-122191121| XSS vulnerability
• Antonio Blescia, www.linkedin.com/in/antonio-blescia | CSRF
• Cristian Giustini, https://twitter.com/voidz0r | Security Misconfiguration, XSS vulnerability, SQL injection
• Emad Youssef, twitter.com/Sy3Omda | Redirect, Cross Site Scripting (XSS)
• Ennio Campagna, www.linkedin.com/in/ennio-campagna-720835145 | XSS vulnerability
• Filippo Sorbellini, sorby.me | Broken Authentication and Session Management
• Flavio Baldassi, www.linkedin.com/in/flavio-baldassi | Multiple Security Misconfigurations
• Francesco Lacerenza, linkedin.com/in/francesco-lacerenza | Security Misconfiguration
• Giantonio Chiarelli, www.linkedin.com/in/giantoniochiarelli/?originalSubdomain=it |  XSS vulnerability
• Kasper Karlsson | XSS vulnerability
• Lorenzo Comi, www.linkedin.com/in/lorenzo-comi-53b94789 | XSS vulnerability
• Marco Nappi, www.linkedin.com/in/marco-nappi-a58224157| Multiple XSS vulnerabilities
• Mario Alviano, alviano.com | Broken Authentication and Session Management, Underprotected API
• Michele Romano, https://hackerone.com/mik317 | XSS vulnerability
• Pethuraj M, https://www.pethuraj.in | Security Misconfiguration
• Pierpaolo Palmisano, it.linkedin.com/in/pierpaolo-palmisano-27ab0b8b | Broken Access Control | XSS vulnerability
• Rahad Chowdhury, www.linkedin.com/in/rahadchowdhury | Multiple Security Misconfigurations
• Rupesh Kokare, www.linkedin.com/in/rupesh-kokare-b63a78145 | Redirect
• Simone Quatrini | Multiple Security Misconfiguration
• Tushar Shinde, www.linkedin.com/in/tushar-shinde-589503112 | Security Misconfiguration
• Vishal Bharad, https://twitter.com/i_am_vishh?s=09 | Security Misconfiguration

2018

• Abdel Adim Oisfi, twitter.com/smaury92 | XSS vulnerability
• Akash Labade, www.linkedin.com/in/m0ns7er | CSRF, XSS vulnerability
• Akash Upadhyay, www.linkedin.com/in/akash-upadhayay | Multiple Redirects
• Alessandro Groppo, it.linkedin.com/in/alessandro-groppo-1a0429146 | Security Misconfiguration
• Alessandro Moccia, www.linkedin.com/in/mocciaalessandro | XSS vulnerability
• Alessio Santoru, www.linkedin.com/in/alessiosantoru | XSS vulnerability
• Alfie Njeru, twitter.com/emenalf | Multiple Security Misconfigurations
• Andrea Bocchetti, www.linkedin.com/in/andreabocchetti | Multiple XSS vulnerabilities, Redirect
• Andrea Draghetti, www.andreadraghetti.it | Security Misconfiguration
• Andrea Guglielmini, www.linkedin.com/in/andrea-g-563626112 | Underprotected API
• Andrei Conache, twitter.com/andrei_conache | Multiple XSS vulnerabilities
• Andrei Manole, www.linkedin.com/in/andrei-manole-81626090 | XSS vulnerability
• Angelo Anatrella, angelo.anatrella@gmail.com | XSS vulnerability, Security Misconfiguration
• Antonio Cannito, https://antoniocannito.it | Multiple Security Misconfigurations, CSRF, Multiple XSS vulnerabilities, Broken Authentication and Session Management, SQL injection
• Bill Ben Haim, www.linkedin.com/in/vill-ben-haim-b6775a48 | XSS vulnerability, Redirect
• Carlo Pelliccioni, twitter.com/cpelliccioni | Multiple XSS vulnerabilities, Redirect
• Cristiano Maruti, www.linkedin.com/in/cmaruti | Broken Access Control, XSS vulnerability
• Davide Del Vecchio, www.davidedelvecchio.com | XSS vulnerability, Security Misconfiguration
• Domenico Curigliano, www.linkedin.com/in/domenico-matis-curigliano | Multiple Remote code executions, Multiple XSS vulnerabilities, Redirect
• Donato Scaramuzzo, www.linkedin.com/in/donato-scaramuzzo-1911b83a | Broken Authentication and Session Management
• Emanuele Gentili, twitter.com/emgent | HTML Code injections, XSS vulnerability, Redirect, Security Misconfiguration
• Ezio Paglia, www.linkedin.com/in/ezio-paglia-3704196 | Multiple Security Misconfigurations, Multiple XSS vulnerabilities
• Fabio Pietrosanti, twitter.com/fpietrosanti | Security Misconfiguration
• Federico Camponogara, www.linkedin.com/in/federico-shellock-ab616a30| Redirect, Broken Access Control, Security Misconfiguration
• Federico Valentini, twitter.com/f3d_0x0 | SQL injection
• Federico Zambito, www.linkedin.com/in/federico-zambito-2b967571 | Redirect
• Frank Vickers, www.linkedin.com/in/frank-vickers-199109a | Multiple Security Misconfigurations
• Giovanni Guido, twitter.com/cafebab3 | XSS vulnerability
• Giulio Comi, linkedin.com/in/giuliocomi | Remote code execution
• Ismail Tasdelen, www.linkedin.com/in/ismailtasdelen | Multiple Security Misconfigurations
• Jacopo Jannone, www.jacopojannone.com | XSS vulnerability
• Jose Carlos Exposito Bueno | Multiple XSS vulnerabilities, SQL injection
• Kasper Karlsson | XSS vulnerability
• Lorenzo Comi, www.linkedin.com/in/lorenzo-comi-53b94789 | SQL Injection, Broken Authentication and Session Management
• Lorenzo Stella, www.linkedin.com/in/stellalorenzo | Security Misconfiguration, Underprotected API
• Luca Capacci, www.linkedin.com/in/lucacapacci | Redirect
• Luigi Gubello, www.gubello.me | Multiple XSS vulnerabilities
• Marco Nappi, www.linkedin.com/in/marco-nappi-a58224157/ | Multiple XSS vulnerabilities
• Matteo Neri, twitter.com/nmatte90 |SQL injection
• Mattia Reggiani, twitter.com/mattia_reggiani | XSS vulnerability
• Mert Can Esen, www.linkedin.com/in/mertcanesen | XSS vulnerability
• Michele Toccagni, hacktips.it | SQL injection, XSS vulnerability, Multiple Security Misconfigurations
• Mohamed Ouad, www.linkedin.com/in/ouadmoha | Broken Authentication and Session Management, Underprotected API
• Paolo Giai | keybase.io/polict | XSS vulnerability
• Paolo Montesel, twitter.com/pmontesel | Underprotected API
• Paolo Stagno, voidsec.com | XSS vulnerability, Redirect
• Pasquale Fiorillo, www.pasqualefiorillo.it | XSS vulnerability, Multiple SQL injections
• Raffaele Forte, backbox.org | Remote Code Execution
• Raffaele Sabato, syrion.me | Multiple Security Misconfigurations
• Shubham Pathak, twitter.com/ShubhamPthk | Multiple Security Misconfigurations
• Simone Cardona, www.linkedin.com/in/simone-cardona | Multiple XSS vulnerabilities, Redirect, Security, Misconfiguration
• Simone Onofri, it.linkedin.com/in/simoneonofri | XSS vulnerability, Redirect
• Simone Quatrini | Security Misconfiguration, XSS vulnerability
• Valerio Mancini, www.linkedin.com/in/valerio-mancini-2520a067 | Remote code execution
• Vincenzo Chieppa, twitter.com/Procode701 | XSS vulnerability, SQL injection
• Vishal Jain, linkedin.com/in/vishaljain113 | Security Misconfiguration