RESPONSIBLE DISCLOSURE

 

Responsible disclosure beleid

Bij ServerBiz vinden we de veiligheid en integriteit van onze systemen erg belangrijk. We leven echter in een wereld die snel beweegt, hoewel veiligheid onze absolute focus heeft, kunnen we niet garanderen dat onze systemen nooit kwetsbaar zijn voor aanvallen.

Als u een beveiligingslek in een of meer van onze systemen heeft aangetroffen dan verzoeken we u ons zo snel mogelijk op de hoogte te stellen, zodat we maatregelen kunnen nemen en kunnen voorkomen dat deze kwetsbaarheid wordt misbruikt.

We willen u vragen ons te helpen onze klanten en onze systemen beter te beschermen.

U kunt ons helpen door de volgende richtlijnen te volgen:

  • Stuur uw bevindingen per e-mail naarsecurity@server.biz, codeer uw bevindingen indien mogelijk met onze publieke PGP sleutel om te voorkomen dat deze gevoelige informatie in verkeerde handen valt;
  • Misbruik het beveiligingslek niet door meer gegevens te downloaden dan minimaal nodig is om het beveiligingslek te bewijzen of door priv√©gegevens te bekijken, aan te passen of te verwijderen;
  • Dit beveiligingslek niet te delen met anderen totdat het is verholpen en alle vertrouwelijke gegevens die zijn verkregen via dit beveiligingslek te verwijderen;
  • Onze fysieke beveiligingsmaatregelen niet aanvallen, geen gebruik te maken van social engineering, distributed denial of service (DDOS) aanvallen, spam of applicaties van derden; en
  • Ons de informatie te geven die we nodig hebben om de kwetsbaarheid te reproduceren / bewijzen, zodat we deze zo snel mogelijk kunnen herstellen. Normaal gesproken zou het publieke IPv4 / IPv6-adres van de kwetsbare server samen met een beschrijving moeten voldoen, in sommige gevallen zulle we mogelijk nauwer met u moeten samenwerken.

Sommige beveiligings problemen komen niet in aanmerking voor een beloning aangezien ze een lage impact op onze beveiliging hebben. Neem aub geen contact met ons op naar aanleiding van deze problemen tenzei een combinatie van deze problemen kan leiden tot een beveilingsprobleem met grotere impact. De volgende beveiligingsproblemen zijn een voorbeeld van dit soort fouten:

  • Algemene foutmeldingen mbt de webapplicatie of server fouten.
  • HTTP 404 en andere not HTTP 200 foutmeldingen
  • Toegankelijkheid van publieke directories en bestanden (zoals robots.txt)
  • CSRF-problemen op delen van de website die anonym te bezoeken zijn.
  • CSRF-problemen zonder (kritieke) gevolgen voor de gebruikers
  • Trace HTTP functions die mogelijk nog actief zijn
  • SSL aanvallen zoals BEAST, BREACH, Renegotiation
  • SSL Forward secrecy ongebruikt
  • Anti-MIME-Sniffing header X-Content-Type-functions
  • Ontbrekende HTTP security headers
  • Aanwezigheid van HTTPS Mixed Content Scripts / fouten

Wij beloven u dat:

  • We zullen binnen 3 werkdagen na ontvangst van uw melding reageren en u een geschatte tijd / datum geven waarop de kwetsbaarheid zal worden verholpen,
  • Als u de bovenstaande richtlijnen heeft gevolgd dan zullen we geen juridische stappen tegen u ondernemen met betrekking tot de exploitatie van de door u gemelde kwetsbaarheid,
  • Wij zullen uw melding met de grootste vertrouwelijkheid behandelen en zullen uw persoonlijke informatie niet met derden delen, tenzij de wet anders voorschrijft. U mag een alias gebruiken om contact met ons op te nemen als u denkt dat dit nodig is om uw privacy te beschermen,
  • We houden u op de hoogte van de voortgang die we boeken bij het aanpakken van de kwetsbaarheid,
  • In alle berichtgeving over dit beveiligingslek zullen we, als u dat wilt, u de erkenning geven dat u de kwetsbaarheid onder onze aandacht gebracht heeft,
  • Als dank voor uw hulp bieden we een beloning voor elke, voor ons onbekende, kwetsbaarheid. De hoogte van deze beloning is gebaseerd op de ernst van de kwetsbaarheid en de kwaliteit en gedetailleerdheid van uw melding.

We streven ernaar om alle problemen zo snel mogelijk op te lossen en we willen graag een actieve rol spelen in de uiteindelijke publicatie van het probleem nadat het is opgelost.

Dit Responsible Disclosure-beleid is gebaseerd op: responsibledisclosure.nl

Laatst bijgewerkt op: 12-03-2018