Responsible Disclosure

Hoe kan ik een zwakke plek melden (Responsible Disclosure)?

Een zwakke plek in een ICT-systeem van WERKTOOLS, kun je mailen naar het WERKTOOLS Security e-mail adres. Meld de kwetsbaarheid voordat je dit aan de buitenwereld kenbaar maakt. Zo kan WERKTOOLS eerst maatregelen treffen. Dit heet Responsible Disclosure.

 

Waar je aan moet denken bij Responsible Disclosure

Als je een melding doet van een kwetsbaarheid in een ICT-systeem, denk dan aan de volgende zaken:

  • Geef voldoende informatie om het probleem te reproduceren. Zo kan de WERKTOOLS het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn.
  • Laat contactgegevens (e-mailadres of telefoonnummer) achter zodat WERKTOOLS met je contact kan opnemen.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

Voldoe je bij je melding aan deze voorwaarden? Dan verbindt WERKTOOLS geen juridische consequenties aan de melding.

 

Maak geen misbruik van een zwakke plek in een ICT-systeem

Als je een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:

  • malware te plaatsen;
  • gegevens in een systeem te kopiëren, wijzigen of verwijderen (een alternatief hiervoor is een directory listing maken van een systeem);
  • veranderingen aan te brengen in het systeem;
  • herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen;
  • gebruik te maken van het zogeheten ‘bruteforcen’ van toegang tot systemen;
  • gebruik te maken van denial-of-service of social engineering.

 

Wat AndSafety doet bij Responsible Disclosure

Heb je een melding gedaan van een zwakke plek in een ICT-systeem? WERKTOOLS behandelt deze melding als volgt:

  • Je krijgt binnen 1 werkdag een ontvangstbevestiging van WERKTOOLS.
  • WERKTOOLS reageert binnen 3 werkdagen op je melding. Deze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing.
  • WERKTOOLS houdt je als melder op de hoogte van de voortgang van het oplossen van het probleem.
  • WERKTOOLS lost het beveiligingsprobleem zo snel mogelijk op, maar uiterlijk binnen 60 dagen. AndSafety zal samen met je bepalen of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost.
  • WERKTOOLS biedt een beloning als dank voor de hulp.

WERKTOOLS behandelt je melding vertrouwelijk. WERKTOOLS deelt persoonlijke gegevens niet zonder je toestemming met derden. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. WERKTOOLS kan, als je dat wilt, je naam vermelden als de ontdekker van een gemelde kwetsbaarheid op de Hall of Fame.

 

Scope

In de meeste gevallen belonen we alleen het type kwetsbaarheden dat hieronder wordt vermeld.

  • Uitvoering van willekeurige code SQL injectie
  • Escalatie van bevoegdheden (van niet-geverifieerde gebruiker of naar beheerders)
  • Omzeilen van authenticatie of ongeautoriseerde toegang tot data
  • Cross-site verzoek vervalsing
  • Cross-site scripting
  • Encryptiekwetsbaarheden

 

Uitsluitingen

WERKTOOLS kent geen beloning toe voor triviale of niet uit te buiten bugs. Hieronder staan een aantal voorbeelden van bekende kwetsbaarheden en geaccepteerde risico’s waarvoor geen beloning wordt uitbetaald.

  • HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s
  • Fingerprinting/versie banner disclosure op algemene/publieke services
  • Publiek toegankelijke bestanden en mappen met niet gevoelige informatie
  • Clickjacking en gerelateerde kwetsbaarheden
  • CSRF op formulieren die beschikbaar zijn zonder sessie (bijv. een contactformulier / inlogformulier)
  • Cross-Site Request Forgery op uitlogfunctie
  • Aanwezigheid van “autocomplete” of “save password” functionaliteit
  • Ontbreken van “secure” / “HttpOnly” vlaggen op niet gevoelige cookies
  • Zwakke of omzeiling CAPTCHA implementatie
  • Bruteforce op “Vergeet Wachtwoord” pagina en account lockout niet afgedwongen
  • OPTIONS Method staat aan
  • Username / E-mail enumeratie door bruteforce pogingen via:
    1. Login foutmeldingen
    2. “Vergeet Wachtwoord” / Wachtwoord-foutmeldingen
  • Ontbreken van HTTP Security Headers zoals:
    1. Strict-Transport-Security
    2. X-Frame-Options
    3. X-XSS-Protection
    4. X-Content-Type-Options
    5. Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
  • SSL-configuratie zwakheden:
    1. SSL-aanvallen die niet van buitenaf zijn te misbruiken
    2. SSL “Forward Secrecy” ontbreekt
    3. SSL zwakke en onveilige cipher suites
  • Missing HTTP Public Key Pinning (HPKP)
  • SPF, DKIM, DMARC issues
  • Host Header Injection
  • Content Spoofing / Text Injection op 404 pagina’s
  • Het rapporteren van oude software versies zonder een proof of concept of werkende exploit
  • Het lekken van informatie in Metadata
  • Het missen van DNSSEC
  • Verlopen of inactieve domeinen (domain takeover)
  • Same Site Scripting / localhost DNS record