Responsible Disclosure Program

Veilig gebruik van onze diensten en bescherming van gegevens en privacy zijn zeer belangrijk voor ons. We ontwikkelen al onze producten en diensten met een scherp oog op veiligheid en privacy. Maar we kunnen dingen over het hoofd zien die jij misschien wel ziet. Als je denkt dat je een zwakke plek in een van onze diensten hebt gevonden, dan verzoeken we je deze informatie met ons te delen. Met jouw hulp zullen we de zwakke plek zo snel mogelijk herstellen.

Wij vragen u:

  • Uw bevindingen te mailen naar [email protected]
  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen,
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden, en
  • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen

Richtlijnen voor verantwoorde bekendmaking

  • Deel het beveiligingsprobleem met ons zonder dit op message boards, mailing lists en andere fora openbaar te maken.
  • Gun ons een redelijke termijn (tenminste 30 dagen vanaf het moment waarop wij je melding in deze procedure ontvangen) om te reageren op het probleem alvorens het aan anderen bekend te maken.
  • Verstrek de volledige gegevens van het beveiligingsprobleem, inclusief Proof-of-Concept URL, de details van het systeem waar de tests zijn uitgevoerd en gedetailleerde weergave van de stappen die je hebt genomen.

Verricht geen beveiligingsonderzoek waarbij het volgende betrokken is:

  • Mogelijke of feitelijke schade aan gebruikers, systemen, data of applicaties.
  • Gebruik van een exploit
    • Om data van andere gebruikers te bekijken,
    • waarbij de corruptie van data betrokken is,
    • dat functies uitvoert die onze diensten kunnen verstoren.
  • Het gebruik van port scans op onze netwerkblokken of het uitvoeren van DDoS aanvallen.

Wat wij beloven:

  • Wij reageren binnen 4 dagen op uw melding, met een ontvangst bevestiging. Indien deze niet al eerder aan ons gemeld is, krijgt u van ons een beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als u zich aan bovenstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding,
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk,
  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem,
  • In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker, en
  • Als dank voor uw hulp bieden wij een beloning aan voor elke melding van een ons nog onbekend beveiligingsprobleem. De grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding met een minimum van een waardebon van €75,-. SPF/Dmarc, XSS, CSRF & click hacking zwakke plekken zijn uitgesloten van dit programma. Uiteraard zijn wij wel blij met je melding en zullen een blijk van waardering uitsturen.
  • Per melding van een zwakke plek wordt slechts 1 premie toegekend.
  • Als het rapport van grote waarde voor de continuïteit en betrouwbaarheid van de site is, zal de beloning aanzienlijk hoger zijn.
  • Beloningen worden niet toegekend indien blijkt dat er sprake is van misbruik.

De volgende zwakke plekken in de beveiliging komen NIET in aanmerking voor een premie (en wij raden ten zeerste af om deze te onderzoeken):

  • Zwakke plekken in de beveiliging in applicaties van derden.
  • DDoS aanvallen
  • Spam of Social Engineering technieken.
  • XSS, CSRF & click hacking.
  • Het systematisch afgaan van mogelijkeheden (Brute force)
  • Indien gebruikers zich niet aan de bovengenoemde gedragslijnen houden, behouden wij het recht voor om geëigende (juridische) stappen te nemen en/of aangifte te doen. Deze Gedragslijnen voor Zwakke plekken in de Beveiliging zijn onderworpen aan Nederlands recht.
  • SPF / Dmarc meldingen

Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

Bedankt!

Wij danken de volgende personen, die ons geholpen hebben bij het verbeteren van onze produkten en diensten

  • Martijn34
  • @x_Anony_x
  • @huykha10
  • Pal Patel
  • Yaroslav Oleynik @oja_c7s
  • Anurag Muley