Responsible disclosure-beleid

Een kwetsbaarheid melden

Wij horen graag van u als u een kwetsbaarheid heeft gevonden. Houd hierbij rekening met de volgende zaken:

• Meld de kwetsbaarheid zo snel mogelijk na ontdekking per e-mail via SOC [@] AEVITAE [.] COM.
• Geef ons voldoende informatie om het probleem te reproduceren. We kunnen het probleem dan zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkelder kwetsbaarheden kan meer informatie nodig zijn; wij vragen u in dat geval of u meer informatie aan ons kunt leveren.
• Vermeld uw contactgegevens (e-mailadres of telefoonnummer) zodat we contact met u kunnen opnemen.
• Deel de informatie over het beveiligingsprobleem niet met anderen totdat wij het probleem hebben opgelost.
• Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

Voldoet uw melding aan deze voorwaarden? Dan verbinden wij geen juridische consequenties aan de melding.

Maak geen misbruik van een zwakke plek

Ontdekt u een kwetsbaarheid, maak hier dan geen misbruik van door bijvoorbeeld:

• malware te plaatsen;
• gegevens in een systeem te kopiëren, wijzigen of verwijderen of een directory listing te maken;
• veranderingen aan te brengen in het systeem;
• herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen;
• het systeem te gebruiken als toegangspoort naar andere systemen;
• gebruik te maken van het bruteforcen van toegang tot systemen;
• gebruik te maken van denial-of-service of social engineering.

Hoe wij met uw melding omgaan

Heeft u een zwakke plek in een van onze ICT-systemen of websites gemeld? Dan behandelen wij uw melding als volgt:

• U ontvangt binnen één werkdag een ontvangstbevestiging van uw melding.
• Wij reageren binnen vijf werkdagen op uw melding. Onze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing.
• Wij houden u als melder op de hoogte van de voortgang van het oplossen van het probleem.
• Wij behandelen uw melding vertrouwelijk en we delen uw persoonlijke gegevens niet zonder uw toestemming met derden, tenzij we daartoe wettelijk of door een rechterlijke uitspraak verplicht zijn.
• Als dank voor elke melding van een ons nog onbekend beveiligingsprobleem, bieden wij de mogelijkheid om vermeld te worden in onze “Hall Of Fame”

naar Hall of fame

Beloning

Wij waarderen uw inzet om ons te helpen onze systemen en processen veilig te houden. Vandaar dat wij in de meeste gevallen tot een passende vergoeding over gaan. De hoogte van de vergoeding wordt bepaald op basis van impact. Hiervoor hoeven wij geen verantwoording af te leggen en behouden te allen tijde het recht om de vergoeding en de hoogte volledig zelfstandig te bepalen.

Als u in aanmerking komt voor een beloning, hebben wij uw persoonlijke gegevens nodig om de betaling uit te kunnen voeren. Een beloning wordt niet uitgekeerd als:

• Afzonderlijke partijen dezelfde kwetsbaarheid rapporteren. In dat geval komt enkel de eerste melder in aanmerking van een beloning
• U woonachtig bent in een sanctieland
• De kwetsbaarheid al bij ons bekend is
• Er sprake is van misbruik of schending van dit beleid

Uitsluitingen

Wij kennen geen beloning toe voor triviale of niet uit te buiten bugs. Hieronder een aantal voorbeelden van bekende kwetsbaarheden en geaccepteerde risico’s waarvoor geen beloning wordt uitbetaald.

• Kwetsbaarheden door gebruik te maken van gestolen informatie en credentials”
• Social Engineering
• Man-in-the-middle attack
• HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s
• Fingerprinting/versie banner disclosure op algemene/publieke services
• Publiek toegankelijke bestanden en mappen met niet gevoelige informatie
• Clickjacking en gerelateerde kwetsbaarheden
• CSRF op formulieren die beschikbaar zijn zonder sessie (bijv. een contactformulier/inlogformulier)
• Cross-Site Request Forgery op uitlogfunctie
• Aanwezigheid van “autocomplete” of “save password” functionaliteit
• Ontbreken van “secure” / “HttpOnly” vlaggen op niet gevoelige cookies
• Zwakke of omzeiling CAPTCHA implementatie
• Bruteforce op “Vergeet Wachtwoord” pagina en account lockout niet afgedwongen
• OPTIONS Method staat aan
• Username / E-mail enumeratie door bruteforce pogingen via:
  • Login foutmeldingen
  • “Vergeet Wachtwoord” / Wachtwoord-foutmeldingen
• Ontbreken van HTTP Security Headers zoals:
  • Strict-Transport-Security
  • X-Frame-Options
  • X-XSS-Protection
  • X-Content-Type-Options
  • Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
• SSL-configuratie zwakheden:
  • SSL-aanvallen die niet van buitenaf zijn te misbruiken
  • SSL “Forward Secrecy” ontbreekt
  • SSL zwakke en onveilige cipher suites
• Missing HTTP Public Key Pinning (HPKP)
• SPF, DKIM, DMARC issues
• Host Header Injection
• Content Spoofing / Text Injection op 404 pagina’s
• Het rapporteren van oude softwareversies zonder een proof of concept of werkende exploit
• Het lekken van informatie in Metadata
• Het missen van DNSSEC
• Verlopen of inactieve domeinen (domain takeover)
• Same Site Scripting / localhost DNS record
• “Aanvallen op fysieke eigendommen en locaties”
• “Scanner output of scanner rapportages zonder een proof-of-concept dat laat zien dat kwetsbaarheden misbruikt kunnen worden”
• Kwetsbaarheden door gebruik te maken van gestolen informatie en credentials”

Oplossing voor een kwetsbaarheid

Een gemeld beveiligingsprobleem lossen wij zo snel mogelijk op . Samen met u als melder bepalen we of en hoe we over het probleem berichten. We doen dat altijd pas nadat we het probleem hebben verholpen.

Tenslotte

Aevitae kan het beleid ten aanzien van de responsible disclosure herzien als daartoe aanleiding bestaat. Het actuele beleid staat altijd op deze pagina.