Responsible Disclosure

Melden van beveiligingsfouten

Als u een beveiligingsprobleem of kwetsbaarheid ontdekt in onze systemen dan stellen we het op prijs als u dit (zo snel mogelijk) bij ons meldt. Beveiligingsfouten belonen we met een bedrag in bitcoins (bug bounty) of een vermelding op de “wall of fame”. De hoogte van de beloning hangt af van de impact van de fout en kan oplopen tot maximaal 2 BTC. U kunt rekenen op een beloning als u de eerste bent die ons attendeert op een ernstig beveiligingsprobleem én als deze een wijziging in de code of configuratie als gevolg heeft. Uiteraard dienen kwetsbaarheden niet openbaar gemaakt of beschikbaar gesteld te worden aan derden, totdat ons voldoende tijd voor herstel is geboden. Hieronder vindt u enkele voorbeelden van beveiligingsfouten.

Kwetsbaarheden die in aanmerking komen

Onder andere:

  • Cross Site Scripting (XSS)
  • SQL-injectie
  • Encryptieproblemen

Niet te melden kwetsbaarheden

Sommige beveiligingsfouten komen niet in aanmerking voor een beloning omdat ze een te kleine impact op de beveiliging hebben. De onderstaande type beveiligingsfouten zijn daar voorbeelden van. We vragen geen melding van dergelijke beveiligingsfouten te maken tenzij een combinatie van fouten kan leiden tot een een beveiligingsprobleem met een grotere impact.

  • Algemene foutmeldingen met betrekking tot applicatie of server errors
  • HTTP 404 en overige niet HTTP 200 foutmeldingen
  • De benaderbaarheid van publieke bestanden en directories (als robots.txt)
  • CSRF-issues op delen van de site die voor anonieme gebruikers beschikbaar zijn
  • CSRF-issues die geen (ernstige) ongewenste gevolgen hebben voor gebruikers
  • Trace HTTP functies die actief kunnen zijn
  • SSL aanvallen als BEAST, BREACH, Renegotiation
  • SSL Forward secrecy niet gebruikt
  • Anti-MIME-Sniffing header X-Content-Type-functies
  • Het ontbreken van HTTP security headers
  • De aanwezigheid van HTTPS Mixed Content Scripts / foutmeldingen
  • SPF Record settings

Spelregels

Daarnaast hanteren we de volgende spelregels:

  • Richt tijdens het onderzoek geen schade aan
  • Maak geen gebruik van social engineering
  • Maak geen klant- of bedrijfsgegevens openbaar
  • Deel de verkregen toegang niet met anderen indien u onze beveiliging heeft doorbroken
  • Wijzig of verwijder geen gegevens in systemen of database
  • Kopieer niet meer gegevens dan nodig om een kwetsbaarheid aan te tonen
  • Gebruik geen bruteforce-technieken
  • Gebruik geen technieken die de werking van onze diensten of beschikbaarheid beïnvloeden
  • Maak geen kwetsbaarheden openbaar en deel deze niet met derden, totdat deze verholpen zijn

Beveiligingsissues kunnen worden gemaild naar het volgende e-mailadres: security@bitonic.nl. Beschrijf in het bericht duidelijk het gevonden probleem en de te nemen stappen om het te kunnen reproduceren. Voeg eventueel bijlagen als schermafbeeldingen of gegevensdumps toe om het probleem te verduidelijken. Na ontvangst van de melding zullen we zo snel mogelijk een ontvangstbevestiging sturen. We hebben even de tijd nodig om de melding te onderzoeken en te beoordelen. Na maximaal drie werkdagen ontvangt u een eerste inhoudelijke reactie en laten we weten wat we van de melding vinden.

Wall of fame

Gemeld door Kwetsbaarheid Opmerkingen
Laurens Indexatie pagina's met klantgegevens door bing.com Beloning toegekend

Toestemming Live Chat

De Live Chat is een dienst van MessageBird B.V. die (o.a.) onderworpen is aan de AVG (Algemene Verordening Gegevensbescherming) en stelt dat zij uw gegevens niet gebruiken voor commercieel gewin. Om de Live Chat te laden, vragen we u toestemming te geven voor de verwerking van de gegevens die u via de Live Chat met ons deelt. Door dit venster te sluiten zonder toestemming te geven, wordt de chat niet geladen en worden er geen gegevens gedeeld.
Voor verdere informatie verwijzen wij graag naar de Privacyverklaring van MessageBird.