Kwetsbaarheden melden

Bij VI Company beschouwen wij de beveiliging van onze systemen als een topprioriteit. Hoeveel moeite we ook doen om de beveiliging van het systeem te verbeteren, kwetsbaarheden kunnen toch doorsijpelen. Als je een kwetsbaarheid ontdekt, willen we hier graag meer over weten zodat we stappen kunnen ondernemen om deze zo snel mogelijk aan te pakken. We willen je vragen ons te helpen onze klanten en onze systemen beter te beschermen.

Naar onze mening is de praktijk van ‘responsible disclosure’ de beste manier om internet te beveiligen. Het stelt individuen in staat bedrijven als VI Company op de hoogte te stellen van beveiligingsrisico’s voordat ze de informatie openbaar maken. Dit geeft ons een vechtkans om het probleem op te lossen voordat de crimineel ingestelde mensen zich ervan bewust worden.

Responsible Disclosure is de beste praktijk in de branche en we bevelen het aan als een procedure voor iedereen die omgaat met kwestbaarheden.

Geen uitnodiging om ons netwerk actief te scannen

Ons Responsible Disclosure beleid is geen uitnodiging om ons netwerk of onze systemen actief te scannen op tekortkomingen. We houden ons bedrijfsnetwerk in de gaten. Daarom nemen we waarschijnlijk je scan op, die ons First Response Team (FRT) zal onderzoeken, wat mogelijk tot onnodige kosten leidt.

Gerechtelijke vervolging

Tijdens jouw onderzoek kan het mogelijk zijn dat je acties uitvoert die bij wet verboden zijn. Wij adviseren je om dit niet te doen, maar als je aan de voorwaarden in deze overeenkomst hebt voldaan, zullen we geen juridische stappen ondernemen tegen jou als VI Company. De officier van justitie heeft echter altijd het recht om te beslissen om jou wel of niet te vervolgen.

Regels

We zijn geïnteresseerd in beveiligingsproblemen in onze eigen webservices. Dit betekent dat onze klanten zijn vrijgesteld van deze scope tenzij expliciet wordt vermeld dat ze dat niet zijn. Als je in aanmerking wilt komen voor een beloning, moet u er rekening mee houden dat het probleemrapport doorgaans een daadwerkelijke beveiligingsimpact moet hebben in een realistisch scenario. Dit betekent niet dat je de problemen volledig moet benutten, als je ons zoveel mogelijk informatie verschaft met duidelijke scenario’s dan zullen wij jouw rapport analyseren en conclusies trekken over de impact.

Er zijn een aantal dingen die we expliciet vragen om niet te doen:

  • Maak tijdens je tests alleen gebruik van testaccounts die jij beheert. Een proof of concept dat onnodig accounts van andere eindgebruikers of werknemers van VI Company gebruikt, kan worden gediskwalificeerd.
  • Test niet de fysieke beveiliging van kantoren, werknemers, apparatuur, etc. van VI Company.
  • Test niet met behulp van social engineering-technieken (phishing, vishing, etc.)
  • Voer geen DoS- of DDoS-aanvallen uit.
  • Val op geen enkele manier onze eindgebruikers aan en handel niet met gestolen gebruikers gegevens.
  • Misbruik de gevonden kwetsbaarheid niet door:
    • Meer gegevens downloaden dan nodig
    • Gegevens wijzigen of verwijderen
    • Het beveiligingslek delen voordat het is opgelost

Ons verzoek aan jou:

  • Rapporteer je bevindingen zo snel mogelijk via een e-mail aan support@vicompany.nl.
  • Verstrek voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal volstaan het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid, maar complexe kwetsbaarheden vereisen mogelijk verdere uitleg.
  • Geef ons een minimum van 30 dagen om het probleem op te lossen voordat je de kwetsbaarheid openbaar maakt.

Wat wij beloven:

  • We zullen binnen drie werkdagen reageren op je rapport met onze evaluatie van het rapport en een verwachte datum voor de oplossing.
  • Als je de bovenstaande instructies hebt gevolgd, nemen we geen juridische stappen tegen je met betrekking tot het rapport.
  • Wij zullen jouw melding strikt vertrouwelijk behandelen en jouw persoonlijke gegevens niet aan derden doorgeven zonder jouw toestemming.
  • We houden je op de hoogte van de voortgang bij het oplossen van het probleem.
  • Bij publieke informatie over het gemelde probleem, zullen wij jouw naam geven als de ontdekker van het probleem (tenzij je anders wenst).
  • Als blijk van onze dankbaarheid voor jouw hulp bieden we een beloning voor elk rapport over een beveiligingsprobleem dat bij ons nog niet bekend was. Het bedrag van de beloning wordt bepaald op basis van de ernst van het lek en de kwaliteit van het rapport. De minimale beloning is €75.

Van toepassing op:

De volgende bevindingstypen zijn specifiek uitgesloten van de bounty

  • Beschrijvende foutmeldingen (bijvoorbeeld Stack Traces, applicatie- of serverfouten).
  • HTTP 404-codes/pagina’s of andere niet HTTP 200 codes/pagina’s.
  • Security header issues zonder proof of concept.