Responsible Disclosure
Bekijk hieronder het Responsible disclosure-beleid van Bitonic.
Dit document beschrijft wat een potentieel beveiligingsprobleem of kwetsbaarheid is en hoe dit kan worden gemeld. Bitonic waardeert het als dit zo snel mogelijk wordt gemeld. Bitonic is te bereiken via security@bitonic.nl. De gehanteerde definities in dit document hebben dezelfde betekenis als in de Gebruikersovereenkomst.
Artikel 1: Regels voor het melden
- Tijdens het onderzoek mag geen schade worden aangericht.
- Er mag geen gebruik worden gemaakt van social engineering.
- Persoonsgegevens van Gebruikers en/of Bitonic mogen niet openbaar worden gemaakt.
- Verkregen toegang mag niet worden gedeeld met derden.
- Persoonsgegevens in systemen of databases mogen niet worden gewijzigd of verwijderd.
- Alleen de gegevens die nodig zijn om de kwetsbaarheid aan te tonen mogen worden gekopieerd.
- Bruteforce-technieken mogen niet worden toegepast.
- Er mogen geen technieken worden gebruikt die de werking of beschikbaarheid van de Diensten beïnvloeden.
- Kwetsbaarheden mogen alleen in samenspraak met Bitonic openbaar worden gemaakt of gedeeld met derden.
Artikel 2: Toepassingsbereik
- Het Responsible disclosure-beleid is van toepassing op alle Diensten van Bitonic en alle systemen die onder directe controle vallen van Bitonic.
- Het ontdekken van en melding doen over kwetsbaarheden die de integriteit, beschikbaarheid of vertrouwelijkheid van de systemen en gegevens van Bitonic kunnen beïnvloeden is gedekt door de richtlijnen uit het Responsible disclosure-beleid.
Artikel 3: Kwetsbaarheden
- De kwetsbaarheden die in aanmerking kunnen komen voor een beloning bestaan onder andere uit Cross Site Scripting (XSS), SQL-injectie en encryptieproblemen.
- Andere kwetsbaarheden die leiden tot wijzigingen in de code of configuratie kunnen eveneens in aanmerking komen voor een beloning.
Artikel 4: Niet te melden kwetsbaarheden
- De kwetsbaarheden die vanwege hun beperkte impact op de beveiliging niet in aanmerking kunnen komen voor een beloning bestaan onder andere uit algemene foutmeldingen met betrekking tot applicatie- of serverfouten, HTTP 404 en andere niet-HTTP 200 foutmeldingen, benaderbaarheid van publieke bestanden en directories (zoals robots.txt), CSRF-issues op delen van de site die voor anonieme personen toegankelijk zijn, CSRF-issues zonder ernstige gevolgen voor Gebruikers, actieve trace HTTP-functies, SSL-aanvallen zoals BEAST, BREACH, en Renegotiation, het ontbreken van SSL Forward Secrecy, anti-MIME-Sniffing header X-Content-Type-functies, het ontbreken van HTTP security headers, HTTPS Mixed Content Scripts / foutmeldingen en SPF Record settings.
- Het melden van kwetsbaarheden als bedoeld in lid 1 dienen alleen te worden ingediend indien zij, in combinatie met andere kwetsbaarheden, leiden tot een groter beveiligingsprobleem.
Artikel 5: Beloning
- Bitonic biedt een beloning voor ontdekte kwetsbaarheden die een aanzienlijke impact hebben. De beloning wordt uitbetaald in Bitcoin en is afhankelijk van de ernst en impact van de gevonden kwetsbaarheid.
- Indien van toepassing kan in plaats van een financiële beloning een vermelding op de “wall of fame” worden aangeboden. De uiteindelijke beloning wordt bepaald door de beoordeling van de gemelde kwetsbaarheid door Bitonic.
Artikel 6: Melding
- Beveiligingsproblemen en/of kwetsbaarheden kunnen worden gemaild naar security@bitonic.nl.
- In de melding dient een duidelijke beschrijving van het gevonden probleem en de stappen om het te reproduceren te worden opgenomen.
- Indien mogelijk dienen bijlagen zoals schermafbeeldingen of gegevensdumps te worden toegevoegd ter verduidelijking van het probleem.
- Na ontvangst van de melding zal een ontvangstbevestiging worden verstuurd. Binnen drie werkdagen volgt een eerste inhoudelijke reactie en informatie over de status van de melding.
Wall of fame
Gemeld door |
Kwetsbaarheid |
Opmerkingen |
Laurens |
Indexatie pagina's met klantgegevens door bing.com |
Beloning toegekend |