Responsible Disclosure

Coordinated Vulnerability Disclosure (CVD)-beleid

Kwetsbaarheid ontdekt? Laat het ons weten.

Bij het constateren van een zwakke plek in één van onze systemen, verzoeken wij de ontdekker hiervan contact met ons op te nemen. Wij waarderen het zorgvuldig melden van dergelijke kwetsbaarheden volgens onze voorwaarden en werken hierbij graag samen zodat we zo snel mogelijk maatregelen kunnen treffen.

VoorwaardenProces
Wij vragen je om je aan de volgende voorwaarden te houden:Verdere verwerking vindt als volgt plaats:
  • E-mail je bevindingen naar security@dawn.tech.
  • We willen graag contact met je opnemen om de benodigde gegevens (veilig) uit te wisselen. Meestal is het IP-adres, de domeinnaam of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Maak geen misbruik van het probleem en deel het niet met anderen totdat het is opgelost.
  • Verwijder alle verkregen vertrouwelijke gegevens direct of uiterlijk nadat het lek is gedicht.
  • Gebruik geen aanvallen op fysieke beveiliging, social engineering, DDoS, spam of applicaties van derden.
  • Zo spoedig mogelijk, maar uiterlijk binnen 4 werkdagen, reageren wij op de melding. Indien mogelijk geven wij onze beoordeling en een verwachte datum voor een oplossing. Wij houden je op de hoogte van de voortgang van de oplossing van het probleem.
  • Wij streven ernaar alle problemen zo snel mogelijk op te lossen en worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.
  • Wij behandelen uw melding vertrouwelijk en delen uw persoonsgegevens niet zonder uw toestemming met derden, tenzij dit noodzakelijk is om te voldoen aan een wettelijke verplichting.

Geen uitnodiging tot misbruik

Houd bij het onderzoeken van een kwetsbaarheid in een van onze systemen rekening met de proportionaliteit van de aanval. Je hoeft niet aan te tonen dat we tijdelijk uit de lucht zijn als je een grote (D)DoS-aanval uitvoert op een van onze diensten. Dat weten we.

Dit is dus geen uitnodiging om actief onze netwerken te scannen op zwakke plekken. Brute-force-aanvallen, (D)DoS en social engineering vallen buiten de scope van dit Responsible Disclosure-beleid.

Voer geen (D)DoS-aanvallen uit.

Ten tweede: test geen snelheidslimieten op formulieren; de verstoring die deze ‘tests’ veroorzaken is erger dan de mogelijke ontdekking van kwetsbaarheden in de snelheidslimieten.

Uitsluitingen

Meldingen die gebaseerd zijn op de volgende bevindingen of scenario’s vallen buiten dit Responsible Disclosure-beleid:

  • Bevindingen met betrekking tot SPF-, DKIM- en DMARC-records of het ontbreken van DNSSEC.
  • Het ontbreken van HTTP-security headers.
  • CSRF op formulieren die anoniem toegankelijk zijn (zonder sessie).
  • Brute-force-, (D)DoS- en rate-limit-gerelateerde bevindingen.
  • Clickjacking en gerelateerde kwetsbaarheden.
  • Meldingen over onveilige SSL/TLS-protocollen en gerelateerde misconfiguraties.
  • Mogelijk verouderde server- of applicatieversies (van externe partijen) zonder bewijs van kwetsbaarheid en bewijs van misbruik.
  • Versie-exposure (tenzij je een werkende exploit-PoC aanlevert).
  • Bekende openbare bestanden of directory's of niet-gevoelige informatie.
  • Meldingen afkomstig van automatische tools en scans.

Dien geen meldingen in over bovenstaande bevindingen; dit zijn waarschijnlijk bekende en geaccepteerde risico’s of eerder gerapporteerd.

Beloning

Als dank voor je hulp bieden wij een beloning voor het melden van een nog onbekend beveiligingsprobleem dat volledig voldoet aan dit beleid. De hoogte van de beloning bepalen wij op basis van de ernst en de kwaliteit van de melding.

Als het gaat om een ​​eerder gemelde, laag- of geaccepteerde kwetsbaarheid, komt de melding niet in aanmerking voor een beloning.

Wij keren geen beloning uit aan personen die woonachtig zijn in landen die op sanctielijsten van de EU of de VN staan.

Dit Responsible Disclosure-beleid is gebaseerd op responsibledisclosure.nl en de CVD-richtlijn van het NCSC.