Responsible disclosure

Bij Infowijs beschouwen we de beveiliging van onze systemen als de hoogste prioriteit. Maar hoeveel inspanningen we ook leveren voor de beveiliging van ons systeem, er kunnen nog steeds kwetsbaarheden aanwezig zijn.

We waarderen de input van beveiligingsprofessionals die te goeder trouw handelen om ons te helpen een hoog niveau van beveiliging en privacy voor onze gebruikers te handhaven. Echter ons beleid voor responsible disclosure is geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen om zwakke plekken te ontdekken. Wij willen graag met jou samenwerken om onze klanten en onze systemen beter te kunnen beschermen.

Als je een kwetsbaarheid ontdekt, willen we dit graag weten, zodat we zo snel mogelijk stappen kunnen ondernemen om het aan te pakken.

Kwetsbaarheid gevonden?

  • E-mail je bevindingen naar security@infowijs.nl. Versleutel jouw bevindingen met behulp van onze PGP-sleutel om te voorkomen dat kritieke informatie in verkeerde handen terechtkomt;
  • Maak geen misbruik van de kwetsbaarheid of het probleem dat je hebt ontdekt, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen of door gegevens van andere personen te verwijderen of te wijzigen;
  • Onthul het probleem niet aan anderen totdat het is opgelost;
  • Maak geen gebruik van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of toepassingen van derden;
  • Zorg voor voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar complexe kwetsbaarheden kunnen verdere uitleg vereisen;
  • Acties die de integriteit of beschikbaarheid van programmatargets beïnvloeden, zijn verboden en worden strikt gehandhaafd. Als je prestatiedegradatie op de systemen opmerkt, moet je onmiddellijk alle gebruik van geautomatiseerde tools stopzetten;
  • Nadat je jouw bevindingen veilig hebt gedeeld, verwijder je alle privacygevoelige gegevens.

Wat we beloven

  • Als je de hierboven beschreven instructies hebt gevolgd, zullen we geen juridische stappen tegen je ondernemen met betrekking tot het rapport;
  • We zullen jouw rapportage strikt vertrouwelijk behandelen en jouw persoonlijke gegevens niet zonder jouw toestemming aan derden doorgeven;
  • We zullen je op de hoogte houden van de voortgang bij het oplossen van het probleem;
  • In de openbare informatie over het gemelde probleem, zullen we jouw naam vermelden als de ontdekker van het probleem (tenzij je anders wenst);
  • We streven ernaar om alle problemen zo snel mogelijk op te lossen en we willen een actieve rol spelen bij de uiteindelijke publicatie over het probleem nadat het is opgelost;
  • Als blijk van onze dankbaarheid voor jouw hulp, bieden we een beloning voor elke rapportage van een beveiligingsprobleem dat nog niet bij ons bekend was. De hoogte van de beloning wordt bepaald op basis van de ernst van het lek en de kwaliteit van de rapportage. De minimale beloning is een cadeaubon ter waarde van €25;
  • Beloningen worden alleen betaald aan inwoners van de EU / EER.

We streven ernaar om alle problemen zo snel mogelijk op te lossen en we willen een actieve rol spelen bij de uiteindelijke publicatie over het probleem nadat het is opgelost.

Scope

Out of scope

  • Bevindingen uit fysieke tests zoals kantoor toegang (bijv. open deuren, tailgaiting);
  • Bevindingen afgeleid voornamelijk van social engineering (bijv. phishing, vishing);
  • Bevindingen van toepassingen of systemen die niet in de ‘Scope’ sectie zijn vermeld;
  • Functionele, UI- en UX-fouten en spelfouten;
  • Denial of Service (DoS / DDoS) op netwerkniveau kwetsbaarheden.

Toegestane bevindingen, maar niet interessant genoeg:

  • SPF, DKIM, DMARC-problemen;
  • Informatie-onthullingen met een laag impact (inclusief softwareversie-onthulling);
  • Beschrijvende foutmeldingen (bijv. Stack Traces, applicatie- of serverfouten);
  • HTTP 404-codes/pagina's of andere HTTP non-200-codes/pagina's;
  • Banner-onthulling op veelvoorkomende/openbare services;
  • Onthulling van bekende openbare bestanden of mappen (bijv. robots.txt);
  • Clickjacking en problemen die alleen via clickjacking uitbuitbaar zijn;
  • Gebruik van een bekende kwetsbare bibliotheek die leidt tot een kwetsbaarheid met een laag impact (bijv. verouderde versie van jQuery leidt tot XSS met een laag impact);
  • CSRF op formulieren die beschikbaar zijn voor anonieme gebruikers (bijv. het contactformulier);
  • Logout Cross-Site Request Forgery (logout CSRF);
  • Aanwezigheid van applicatie of webbrowser 'autocomplete' of 'save password' functionaliteit;
  • Gebrek aan beveiligingsspeedbump bij het verlaten van de site;
  • Zwakke Captcha / Captcha Bypass;
  • Gebruikersnaamopbouw via loginpagina-foutmelding;
  • Gebruikersnaamopbouw via wachtwoord vergeten foutmelding;
  • Login of Wachtwoord vergeten pagina brute force en account lockout niet afgedwongen;
  • OPTIONS / TRACE HTTP-methode ingeschakeld;
  • SSL/TLS-best practices die geen volledig functionele proof of concept bevatten;
  • SSL-aanvallen zoals BEAST, BREACH, Renegotiation attack;
  • SSL Forward secrecy niet ingeschakeld;
  • SSL Onveilige cipher-suites;
  • De Anti-MIME-Sniffing header X-Content-Type-Options;
  • Ontbrekende HTTP-beveiligingsheaders.

Verbeteringen

Als je denkt dat items in dit beleid moeten worden herzien, neem dan ook contact met ons op, zodat we dit document of de toepasselijke scope kunnen verbeteren.

Version history

2023-03-03 – Vertaald naar het Nederlands
2023-02-10 – Initial version published