Beveiligingslek melden

Wij doen er alles aan om onze systemen veilig te houden. Vind u nu toch een probleem in onze beveiliging? Meld het dan, want dan kunnen wij het meteen oplossen.

                                     

Dit melden noemen we responsible disclosure.

Hoe meld u een probleem?

  • Stuur het naar verantwoordelijk.disclosure@softwaregeek.nl  Lukt het niet? Bel ons dan op: +31 413 357423.
  • Geef ons zoveel mogelijk informatie; dat helpt ons om het probleem te reproduceren en op te lossen; dus een uitgebreide beschrijving met IP-adressen, logs, screenshots, enzovoort.
  • Geef ons uw contactgegevens, een telefoonnummer of een mailadres. Dan kunnen we u bereiken als we meer willen weten.

Waar moet u op letten?

  • Vertel er niemand anders over.
  • Vernietig gegevens die u hebt gekregen.
  • Ga niet verder dan nodig om het probleem aan te tonen.
  • Maak geen misbruik van het beveiligingslek. Anders doen we aangifte.

Wat u niet hoeft te melden:

  • Social Engineering.
  • Resource uitputting / (Distributed) Denial of Service.
  • Fysieke aanvallen (in persoon).
  • Situaties die niet kunnen worden gereproduceerd.
  • Exploits die niet worden gevalideerd met een tweede methode/tool tool a zegt kwetsbaar, tool B zegt prima.
  • Cosmetische issues, bv ziet er niet goed uit in browser A. (deze kunt u wel melden bij editor@softwaregeek.nl).
  • Situaties die liggen op gebruikersvlak, bijvoorbeeld werkplek onbeheerd laten, klik of toetsencombinaties.
  • Simpele opsommingen en versienummers van OS, services en poorten.
  • Publiekelijk beschikbare bestanden die publiekelijk beschikbaar horen te zijn.
  • Missende HTTP-only flag op cookies die geen gevoelige informatie bevatten.
  • TLS misconfiguratie zonder proof of concept deze kwetsbaarheid te kunnen misbruiken.
  • Niet complete of missende SPF, DKIM of DMARC records.
  • Diensten draaiende bij derde partijen (raadpleeg vooraf hun eigen responsible disclosure pagina).
  • E-mail adressen gevonden bij een datalek bij een derde partij.
  • Kwetsbaarheden waarvoor in de laatste 2 weken patches vrijgegeven zijn.
  • URL redirects (naar een geldige pagina).

Bekende problemen

Er zijn ook problemen die al bij ons bekend zijn en waaraan we werken of die wij als geaccepteerde risico’s erkennen. Deze problemen benoemen wij niet op de website. Ons team is daarvan wel op de hoogte en zal dit dan aangeven. Hierdoor wordt het issue niet in behandeling genomen.

 

Hoe gaan wij om met uw melding?

  • Wij sturen u binnen 1 werkdag een mail, zodat u weet dat je bericht bij ons binnen is.
  • Wij sturen u binnen 5 werkdagen een mail met een inhoudelijke reactie en de datum waarop we het verwachten op te lossen. We lossen het zo snel mogelijk op, maar in ieder geval binnen 3 maanden.
  • Wij houden u op de hoogte van de voortgang.
  • Wij bepalen samen met u of we hierover publiceren. We vermelden uw naam alleen als u dat wilt.