Vulnerability Disclosure Policy
Kwetsbaarheid melden
Heb je een issue rondom beveiliging of privacy gespot in PQR-services? Laat het ons weten! We staan open voor meldingen van iedereen, zoals klanten, beveiligingsexperts en developers. Zulke meldingen vallen onder de noemer Coordinated Vulnerability Disclosure (CVD). Om een kwetsbaarheid te melden, stuur je een mail naar disclosure@pqr.com met de volgende info:
Dienst
De specifieke services waarvan je denkt dat ze beïnvloed zijn
Gedrag
Een omschrijving van het gedrag dat je hebt opgemerkt en wat je eigenlijk verwachtte
Beschrijving
Probeer zo duidelijk en gedetailleerd mogelijk te zijn over het probleem dat je hebt gevonden. Geef genoeg info om het issue te reproduceren, zodat we het zo snel mogelijk kunnen fixen. Ingewikkelde kwetsbaarheden vragen misschien om extra uitleg. Je kunt hierbij denken aan stap-voor-stap instructies, screenshots of video-demonstraties. Voel je vrij om ondersteunend materiaal aan te leveren (Proof of Concept-code, tool-output, etc.) dat ons kan helpen de aard en ernst van de kwetsbaarheid te doorgronden.
Contact
Jouw e-mailadres of telefoonnummer, zodat we contact kunnen opnemen als we vragen hebben. We geven de voorkeur aan communicatie via e-mail.
Het aanbieden van een oplossing wordt zeer gewaardeerd, maar is niet verplicht. Wees gerust dat jouw meldingen door specialisten worden bekeken. We accepteren alleen meldingen in het Engels of Nederlands.
In Scope
Heb je een beveiligingsfout ontdekt in een ICT-systeem of dienst van PQR? Laat het ons weten voordat je de buitenwereld informeert, zodat we eerst actie kunnen ondernemen. Dit wordt 'verantwoord melden' of 'responsible disclosure' genoemd.
Voorbeelden van in aanmerking komende kwetsbaarheden zijn:
- Remote Code Execution
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- SQL-injectie
- Encryptieproblemen
- Authenticatie omzeilen en ongeoorloofde toegang tot data
Out of scope
HTTP-gerelateerde problemen
• HTTP 404 codes/pagina's of andere HTTP non-200 codes/pagina's en Content Spoofing/Text Injection op deze pagina's
• Openbaarmaking van de banner van de vingerafdrukversie op algemene/openbare diensten
• OPTIES HTTP-methode ingeschakeld
• Alles met betrekking tot HTTP-beveiligingsheaders, bijvoorbeeld: Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security-Policy.
SSL/TLS en e-mailbeveiligingsproblemen
• SSL-configuratieproblemen, bijv.: SSL forward-geheimhouding niet ingeschakeld, zwakke / onveilige coderingssuites.
• SPF-, DKIM-, DMARC-problemen
• DNSSEC ontbreekt
Informatielekkage en openbaarmaking van bestanden
• Openbaarmaking van bekende openbare bestanden of mappen of niet-gevoelige informatie (bijv. robots.txt)
• Informatielekkage in metadata
Klik- en gebruikersinterface gerelateerde problemen
• Clickjacking en problemen die alleen kunnen worden misbruikt door clickjacking
• Gebrek aan Secure/HTTPOnly-vlaggen op niet-gevoelige cookies
Injectie-aanvallen
• Host header-injectie
Oudere softwareversies en brute force-pogingen
• Rapporteren van oudere versies van software zonder proof of concept of werkende exploit
• Opsomming van gebruikersnaam/e-mail door middel van brute force-pogingen, bijvoorbeeld: via de foutmelding Login Page, de foutmelding Wachtwoord vergeten.
Deze uitsluitingenlijst is afgeleid van een lijst die wordt gebruikt door het CERT van SURF.
Wat we je vragen wél te doen
- Meld de kwetsbaarheid zo snel mogelijk na ontdekking
- Ga verantwoord om met de kennis van de kwetsbaarheid
- Wees extra voorzichtig met persoonlijke en vertrouwelijke gegevens
- Werk samen met ons om ervoor te zorgen dat de kwetsbaarheid op een veilige en effectieve manier wordt verholpen
Wat we je vragen niet te doen
- Misbruik maken van de gevonden kwetsbaarheid door:
- gegevens kopiëren of downloaden (tenzij nodig om je bevinding te bewijzen)
- gegevens en diensten wijzigen (bewerken) of verwijderen (verwijderen)
- herhaaldelijk toegang krijgen tot de dienst of de toegang ertoe delen met anderen
- schade veroorzaken aan of onbeschikbaarheid van onze diensten
- De kwetsbaarheid delen met anderen totdat deze is opgelost
- Brute-force-aanvallen, Denial-of-Service-aanvallen (DoS), spamaanvallen of social engineering uitvoeren
- Fysieke aanvallen uitvoeren op medewerkers, kantoren en diensten van PQR
- Malware of backdoors introduceren in services
Wat wij jou beloven
-
Verantwoord samenwerken. We zetten ons in om alle ontdekte kwetsbaarheden zo snel mogelijk op te lossen en iedereen op de hoogte te houden. Onze PQR-security-experts zullen je melding beoordelen en binnen 5 werkdagen reageren met een evaluatie en een geschatte oplossingsdatum. We houden je op de hoogte van de voortgang en nemen contact op als we meer info nodig hebben. We streven ernaar om kwetsbaarheden binnen maximaal 60 dagen op te lossen en zullen met jou overleggen over de publicatie van details en oplossingen.
-
Vertrouwelijkheid & privacy. We behandelen je melding met de grootste zorg en delen je gegevens niet met derden zonder jouw toestemming, tenzij wettelijk verplicht. Als je het wenst, kunnen we je naam als ontdekker vermelden, mits je hiervoor toestemming geeft.
-
Geen juridische stappen. Als je je aan de voorwaarden van ons CVD-proces houdt, ondernemen we geen juridische stappen tegen jou. Het Openbaar Ministerie behoudt echter altijd het recht om te beslissen over vervolging.
-
Beloningen. Om het melden van kwetsbaarheden bij PQR aan te moedigen, kunnen we je een beloning geven voor je onderzoek, maar we zijn hiertoe niet verplicht. Je hebt dus niet automatisch recht op een vergoeding. De vorm van deze beloning staat niet op voorhand vast en wordt door ons van geval tot geval bepaald. Of en in welke vorm een beloning wordt gegeven, hangt af van de ernst van de kwetsbaarheid, de zorgvuldigheid die is betracht bij je onderzoek en de kwaliteit van de melding.
