kwetsbaarheid ontdekt? laat het ons weten!
Bij Hely vinden we de veiligheid van onze systemen en ons netwerk erg belangrijk. We zijn ervan overtuigd dat een goede beveiliging essentieel is voor het vertrouwen dat onze klanten, leveranciers en medewerkers in ons stellen. Ondanks de zorg voor de beveiliging van onze systemen zou het kunnen voorkomen dat een kwetsbaarheid wordt ontdekt.
Met ons responsible disclosure beleid vragen wij iedereen die een kwetsbaarheid ontdekt, dit zo snel mogelijk te melden zodat we adequate maatregelen kunnen treffen. We werken graag met je samen om de kwetsbaarheid op te lossen. Ons responsible disclosure beleid is geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen om kwetsbaarheden te ontdekken. Wij monitoren ons netwerk zelf.
Wij vragen je:
-
Jouw bevindingen zo snel mogelijk te versturen naar rd@hely.com. Als je de melding versleuteld wilt versturen, meld dit dan in jouw e-mail. Wij geven je dan instructies;
-
Geef ons voldoende informatie om de kwetsbaarheid te reproduceren zodat we deze zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar voor complexere kwetsbaarheden kan aanvullende informatie nodig zijn;
-
Geen misbruik te maken van de kwetsbaarheid door gegevens te downloaden, bekijken, verwijderen of bewerken;
-
Kwetsbaarheden niet te delen met anderen totdat ze kunnen worden opgelost. Indien u onverhoopt vertrouwelijke informatie heeft verkregen, vragen wij u deze gegevens onmiddellijk te verwijderen;
-
Geen gebruik te maken van aanvallen op fysieke beveiliging of applicaties van derden, social engineering, distributed denial of service (DDoS), spam of hacking tools zoals vulnerability scanners.
Wat mag je verwachten:
-
Wij nemen jouw melding altijd serieus. Ook vermoedens van kwetsbaarheden zullen wij onderzoeken;
-
Wij reageren op de melding met onze beoordeling van de melding en een verwachte datum voor de oplossing;
-
Wij houden je op de hoogte van de voortgang van het oplossen van de kwetsbaarheid;
-
Als je je aan bovenstaande voorwaarden hebt gehouden zullen wij geen juridische stappen tegen jou ondernemen betreffende de melding. Het Openbaar Ministerie behoudt het recht om te beslissen of aanvullend onderzoek noodzakelijk is;
-
Wij behandelen jouw melding vertrouwelijk en delen je persoonlijke gegevens niet zonder jouw toestemming met derden, tenzij dit wettelijk verplicht is, bijvoorbeeld wanneer uw gegevens worden opgevraagd door politie of rechter;
-
Als je een anonieme melding doet, kunnen wij mogelijk geen contact met u opnemen over de vervolgstappen en de voortgang die is geboekt bij het oplossen van de kwetsbaarheid;
-
We kunnen onze dankbaarheid uiten met een blijk van waardering waarvan de waarde kan variëren afhankelijk van de ernst en de kwaliteit van het gemelde probleem. Dit zal gebaseerd zijn op de ernst van de kwetsbaarheid en de kwaliteit van de melding;
-
Op jouw verzoek kunnen wij in de communicatie over het incident jouw naam vermelden als persoon die de kwetsbaarheid heeft ontdekt;
-
Wij streven ernaar om eventuele kwetsbaarheden zo snel mogelijk na ontdekking te analyseren en indien nodig op te lossen. Ook zullen wij alle belanghebbenden op de hoogte houden van de voortgang van dit proces.
Niet-kwalificerende kwetsbaarheden, inclusief maar niet beperkt tot:
- Gebreken die voortkomen uit het gebruik van verouderde browsers en plug-ins door de gebruiker. (tabbnabbing, etc.)
- Denial-of-service attacks.
- Missing HTTP Security Headers
- Version in HTTP response/Banner Grabbing (without exploitation)
- Clickjacking
- CAA record missing
- OSCP stapling
- Same site scripting
- DMARC/SPF Record Misconfiguration
- HTTP Trace Method
- EXIF metadata in images
- Default webpages with small impact
- Rate limiting vulnerabilities
Dit responsible disclosure beleid is gebaseerd op de leidraad Responsible Disclosure van het Nationaal Cyber Security Centrum en het voorbeeld Responsible Disclosure geschreven door Floor Terra.
