Melden van beveiligingsfouten

Als u een beveiligingsprobleem of kwetsbaarheid ontdekt in onze systemen dan stellen we het op prijs als u dit (zo snel mogelijk) bij ons meldt. Beveiligingsfouten belonen we met een bedrag in bitcoins (bug bounty) of een vermelding op de “wall of fame”. De hoogte van de beloning hangt af van de impact van de fout en kan oplopen tot maximaal 2 BTC. U kunt rekenen op een beloning als u de eerste bent die ons attendeert op een ernstig beveiligingsprobleem én als deze een wijziging in de code of configuratie als gevolg heeft. Uiteraard dienen kwetsbaarheden niet openbaar gemaakt of beschikbaar gesteld te worden aan derden, totdat ons voldoende tijd voor herstel is geboden. Hieronder vindt u enkele voorbeelden van beveiligingsfouten.

Kwetsbaarheden die in aanmerking komen

Onder andere:

  • Cross Site Scripting (XSS)
  • SQL-injectie
  • Encryptieproblemen

Niet te melden kwetsbaarheden

Sommige beveiligingsfouten komen niet in aanmerking voor een beloning omdat ze een te kleine impact op de beveiliging hebben. De onderstaande type beveiligingsfouten zijn daar voorbeelden van. We vragen geen melding van dergelijke beveiligingsfouten te maken tenzij een combinatie van fouten kan leiden tot een een beveiligingsprobleem met een grotere impact.

  • Algemene foutmeldingen met betrekking tot applicatie of server errors
  • HTTP 404 en overige niet HTTP 200 foutmeldingen
  • De benaderbaarheid van publieke bestanden en directories (als robots.txt)
  • CSRF-issues op delen van de site die voor anonieme gebruikers beschikbaar zijn
  • CSRF-issues die geen (ernstige) ongewenste gevolgen hebben voor gebruikers
  • Trace HTTP functies die actief kunnen zijn
  • SSL aanvallen als BEAST, BREACH, Renegotiation
  • SSL Forward secrecy niet gebruikt
  • Anti-MIME-Sniffing header X-Content-Type-functies
  • Het ontbreken van HTTP security headers
  • De aanwezigheid van HTTPS Mixed Content Scripts / foutmeldingen

Spelregels

Daarnaast hanteren we de volgende spelregels:

  • Richt tijdens het onderzoek geen schade aan
  • Maak geen gebruik van social engineering
  • Maak geen klant- of bedrijfsgegevens openbaar
  • Deel de verkregen toegang niet met anderen indien u onze beveiliging heeft doorbroken
  • Wijzig of verwijder geen gegevens in systemen of database
  • Kopieer niet meer gegevens dan nodig om een kwetsbaarheid aan te tonen
  • Gebruik geen bruteforce-technieken
  • Gebruik geen technieken die de werking van onze diensten of beschikbaarheid beïnvloeden
  • Maak geen kwetsbaarheden openbaar en deel deze niet met derden, totdat deze verholpen zijn

Beveiligingsissues kunnen worden gemaild naar het volgende e-mailadres: security@bitonic.nl. Beschrijf in het bericht duidelijk het gevonden probleem en de te nemen stappen om het te kunnen reproduceren. Voeg eventueel bijlagen als schermafbeeldingen of gegevensdumps toe om het probleem te verduidelijken. Na ontvangst van de melding zullen we zo snel mogelijk een ontvangstbevestiging sturen. We hebben even de tijd nodig om de melding te onderzoeken en te beoordelen. Na maximaal drie werkdagen ontvangt u een eerste inhoudelijke reactie en laten we weten wat we van de melding vinden.
Wij stellen het op prijs als u uw bericht met de PGP-sleutel onderaan deze pagina kunt versleutelen (fingerprint: B1E1 4255 F862 8E80 A226 0BD3 FB3C 57A8 B745 A874).

Wall of fame

Gemeld door Kwetsbaarheid Opmerkingen

PGP

Hieronder vindt u de publieke sleutel waarmee u veilig meldingen kunt doen door middel van PGP-versleuteling van e-mailberichten.

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)
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=Ym7G
-----END PGP PUBLIC KEY BLOCK-----