Responsible disclosure

Bij ‘responsible disclosure’ gaat het om het op een verantwoorde manier openbaar maken van zwakke plekken in ICT-systemen.

Vanzelfsprekend vindt Intergamma de veiligheid en privacy van haar klanten erg belangrijk. Daarom beveiligen we onze website en systemen zo goed mogelijk. Als je toch een zwakke plek in de beveiliging van één van onze systemen vindt, horen we dat graag van jou. We nemen dan zo snel mogelijk maatregelen om onze systemen nóg beter te beveiligen.

Wat vragen wij van je?

  • Mail je bevindingen zo snel mogelijk naar security-alert@intergamma.nl
  • Indien gewenst kun je deze versleutelen met onze PGP key om te voorkomen dat de informatie in verkeerde handen valt.
  • Maak geen misbruik van wat je hebt ontdekt, door bijvoorbeeld meer data dan nodig te downloaden of door gegevens van derden te bekijken, aan te passen of te verwijderen.
  • Deel het probleem niet met anderen totdat het is opgelost. Wis meteen na het dichten van het lek alle vertrouwelijke gegevens die je via het lek hebt verkregen.
  • Maak geen gebruik van aanvallen op de fysieke beveiliging, social engineering, (distributed) denial of service aanvallen, spam, of brute force aanvallen
  • Voer geen aanvallen uit op applicaties van derden.
  • Geef voldoende informatie om het probleem te kunnen reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal zijn het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij complexere kwetsbaarheden kunnen extra gegevens nodig zijn.

Wat kun je van ons verwachten?

  • Wij streven ernaar binnen 5 werkdagen op je melding te reageren. Je hoort dan van ons hoe we de melding beoordelen en wanneer we die verwachten op te lossen.
  • Als je je aan de voorwaarden die hierboven staan hebt gehouden, ondernemen wij geen juridische stappen tegen je.
  • Wij behandelen je melding vertrouwelijk en delen je persoonlijke gegevens niet zonder jouw toestemming met derden. Behalve wanneer dit noodzakelijk is om een wettelijke verplichting na te komen. Als je dat wilt, kun je je melden onder een schuilnaam.
  • Als je dat wilt, noemen wij jou als ontdekker in eventuele berichtgeving over het probleem.
  • Wij kunnen je een beloning geven voor je onderzoek, maar zijn hiertoe niet verplicht. Je hebt dus niet zonder meer recht op een vergoeding. De vorm van deze beloning staat niet van tevoren vast en wordt door ons per geval bepaald. Of we een beloning geven en de vorm waarin dat gebeurt, hangen af van de zorgvuldigheid van je onderzoek, de kwaliteit van de melding en de ernst van het lek.

Niet in scope van responsible disclosure

  • Kwetsbaarheden die gevonden zijn in websites van derden die geïntegreerd zijn in onze omgeving
  • (D)DoS, spam en brute force-aanvallen/kwetsbaarheden
  • HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s en content spoofing/text injecting op deze pagina's
  • Fingerprinting/versievermelding op publieke services
  • Publieke bestanden of directories met ongevoelige informatie (bijvoorbeeld robots.txt)
  • Clickjacking en problemen die alleen te exploiten zijn via clickjacking
  • Problemen die neerkomen op self-XSS
  • Geen secure/HTTP-only flags op ongevoelige cookies
  • OPTIONS HTTP method ingeschakeld
  • Alles gerelateerd tot HTTP security headers, bijvoorbeeld:
    • Strict-Transport-Security
    • X-Frame-Options
    • X-XSS-Protection
    • X-Content-Type-Options
    • Content-Security-Policy
  • issues met SSL-configuratie issues (inclusief SSL Forward secrecy uitgeschakeld, zwakke/onveilige cipher suites)
  • Issues met SPF, DKIM of DMARC
  • Host header injection
  • Rapporteren van verouderde versies van enige software zonder een proof of concept van een werkende exploit
  • Informatieblootstelling in metadata
  • Blootstelling van interne IP adressen

Graag worden wij betrokken bij een eventuele publicatie van het probleem nadat dit is opgelost.

Recent bekeken