Responsible disclosure

Heb jij een kwetsbaarheid gevonden?…

dan ben je aan de volgende spelregels gebonden:

• Voor de beoordeling van je melding kun je ons een mail sturen. Je kunt je bevinding via deze e-mail melden. Wij zullen de bevinden dan beoordelen.
• Het niet misbruiken van je bevinding door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen.
• Het niet delen met anderen van je bevinding totdat het door ons is opgelost of als we dit samen hebben afgesproken.
• Onze vertrouwelijke gegevens die eventueel zijn verkregen als gevolg van de zwakke plek, na afstemming met ons direct te wissen en/of te vernietigen.
• Het niet gebruiken van de bevinding om aanvallen op fysieke beveiliging te doen.
• De bevinding niet te doen door middel van social engineering, distributed denial of service of spam.
• Als het vinden van de kwetsbaarheid in onze systemen een gevolg is van een mogelijk strafbaar feit of van onrechtmatig handelen, zullen wij geen juridische maatregelen tegen je treffen als je je aan onze voorwaarden met betrekking tot onze ‘Responsible Disclosure’ hebt gehouden.

Out-of-scope kwetsbaarheden:

• User enumeration zonder enige impact
• Clickjacking zonder een security/privacy risico op pagina’s zonder gevoelige acties
• Denial of service
• Kwetsbaarheden zonder duidelijk security risico (bijvoorbeeld: Logged-Out CSRF)
• CSRF zonder gedemonstreerde kwetsbaarheid
• Self XSS of XSS enkel mogelijk op zeer verouderde browsers
• Content spoofing/text injection dat niet resulteert in XSS of sensitive data disclosure
• Rate limiting kwetsbaarheden zonder duidelijke impact
• Rapporten van tools en scans
• Missende cookie flags op non-gevoelige cookies
• Missende security headers die niet direct leiden naar een kwetsbaarheid
• Version exposure
• Directory listing met publieke content
• Missende best practices in SSL/TLS configuratie

En voor wat hoort wat, daarom beloven wij dat:

• Wij zo snel mogelijk reageren op je melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
• Wij je melding vertrouwelijk behandelen en je persoonlijke gegevens niet zonder je toestemming met derden te delen tenzij dat noodzakelijk is om de melding op te lossen, of een wettelijke verplichting na te komen. Je kunt je melding bij ons ook anoniem doen.
• Wij je op de hoogte houden van de voortgang van het oplossen van het probleem als je dat aan ons hebt gevraagd.
• Wij jouw naam, bij lage, middel en hoge bevindingen, op onze Hall of Fame zullen vermelden, uiteraard alleen met expliciete, geïnformeerde, ondubbelzinnige en vrij gegeven toestemming (wanneer je de eerste bent die deze kwetsbaarheid meldt en we een aanpassing hebben gedaan n.a.v. jouw melding)
• Als het vinden van de kwetsbaarheid in onze systemen een gevolg is van een mogelijk strafbaar of onrechtmatig handelen, zullen wij geen juridische maatregelen tegen je treffen als je zich aan onze voorwaarden met betrekking tot onze ‘Responsible Disclosure’ hebt gehouden.
• Wij streven ernaar om alle meldingen zo snel mogelijk op te lossen. Is het zo dat je na de oplossing van het probleem bekendheid zoekt of hierover wil publiceren, dan verzoeken wij je de publicatie met ons af te stemmen en ons voorafgaand te informeren.

Deze Responsible Disclosure is gebaseerd op een voorbeeld van Floor Terra.

Hall of Fame

Wij bedanken de volgende personen voor hun bijdrage:

• Soundar M
• Mat Shuke