Responsible Disclosure

Bij de Davantigroup besteden we veel aandacht aan het beveiligen van onze systemen. Ondanks alle moeite die we steken in het beveiligen van onze systemen en processen, is het nog steeds mogelijk dat er een kwetsbaarheid overblijft. Als u een dergelijke kwetsbaarheid constateert, willen we dat graag weten, zodat we dit samen kunnen aanpakken.

Ontdekking

Als je een kwetsbaarheid ontdekt, willen we dat graag weten, zodat we stappen kunnen ondernemen om dit zo snel mogelijk aan te pakken. Dien je bevindingen hier in URL: https://app.zerocopter.com/en/rd/ef47f8a9-d353-4e24-b271-be96c4d4add5 en volg deze regels die we hebben opgesteld:

DOā€™S

  • Meld de kwetsbaarheid zo snel als redelijkerwijs mogelijk is, om het risico te minimaliseren dat er misbruik van gemaakt wordt.

  • Meld op een manier die de vertrouwelijkheid van de melding waarborgt, zodat anderen geen toegang krijgen tot de informatie.

  • Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar bij complexe kwetsbaarheden kan nadere uitleg nodig zijn.

DONTā€™S

  • Onthul het probleem aan anderen totdat het is opgelost.

  • Je eigen achterdeur inbouwen in een informatiesysteem met de bedoeling deze vervolgens te gebruiken om de kwetsbaarheid aan te tonen, omdat dit extra schade kan veroorzaken en onnodige veiligheidsrisico’s kan opleveren.

  • Een kwetsbaarheid verder gebruiken dan nodig is om het bestaan ā€‹ā€‹ervan vast te stellen.

  • Kopieer, wijzig of gegevens verwijderen op het systeem. Een alternatief hiervoor is het maken van een directorylijst van het systeem.

  • Breng wijzigingen aan in het systeem.

  • Herhaaldelijk toegang verkrijgen tot het systeem of toegang delen met anderen.

  • Gebruiken van brute force-aanvallen, aanvallen op fysieke beveiliging, social engineering, gedistribueerde denial of service, spam of applicaties van derden om toegang te krijgen tot het systeem.

Out Of Scope Kwetsbaarheden

Deze bevindingen vallen buiten de scope:

  • Gebruikerstelling zonder enige impact.

  • Clickjacking zonder veiligheids-/privacyrisico op pagina’s zonder gevoelige handelingen.

  • Denial of service.

  • Kwetsbaarheden zonder duidelijk veiligheidsrisico (bijvoorbeeld: uitgelogde CSRF).

  • CSRF zonder aangetoonde kwetsbaarheid.

  • Zelf XSS of XSS alleen mogelijk op sterk verouderde browsers.

  • Spoofing van inhoud/tekstinjectie die niet resulteert in XSS of het vrijgeven van gevoelige gegevens.

  • Rate Limiting kwetsbaarheden zonder duidelijke impact.

  • Rapporten van tools en scans.

  • Ontbrekende cookie flags op niet-gevoelige cookies.

  • Ontbrekende beveiligingsheaders die niet direct leiden tot een kwetsbaarheid.

  • Versie blootstelling.

  • Directoryvermelding met openbare inhoud.

  • Ontbrekende best practices in SSL/TLS-configuratie.

Rapporteer je bevindingen hier!

RAPPORTEER

Wat we beloven

  • We zullen binnen 5 werkdagen op je melding reageren met onze evaluatie van de melding en een verwachte oplossingsdatum.

  • Als je bovenstaande instructies hebt gevolgd, zullen wij geen juridische stappen ondernemen tegen de melding.

  • Zonder je toestemming geven wij je persoonsgegevens niet door aan derden, tenzij dit noodzakelijk is om te voldoen aan een wettelijke verplichting. Melden onder pseudoniem of anoniem is mogelijk.

  • We houden je op de hoogte van de voortgang van het oplossen van het probleem.

  • In de openbare informatie over het gemelde probleem vermelden we je naam als de ontdekker van het probleem (tenzij je anders wenst).

  • Als blijk van onze dankbaarheid voor je hulp, zullen we je een goodiebag sturen als je een beveiligingsrisico van laag, gemiddeld, hoog of kritiek niveau hebt gemeld. En als je een beveiligingsrisico van hoog of kritiek niveau meldt, zullen we jouw naam met een link naar je social media-account van je keuze op onze Eregalerij plaatsen.

Hall of Fame

Wij danken de volgende deelnemers voor hun inzet:

Rapporteer je bevindingen hier!

RAPPORTEER