Maandelijkse vulnerability scanning: Eerste maand kosteloos! Meer informatie →
Hero

WIJ ZIJN

HACKIFY

Responsible Disclosure

Wij nemen de beveiliging van onze eigen systemen serieus. Toch kan het ondanks alle zorg gebeuren dat er ergens een zwakke plek zit. Ontdekt u zo’n kwetsbaarheid in een van onze systemen, dan stellen wij het op prijs als u ons dat laat weten voordat anderen er misbruik van maken. Dat heet responsible disclosure, of coordinated vulnerability disclosure.

In dit beleid leest u op welke systemen het van toepassing is, hoe u een melding doet en wat u van ons mag verwachten. Omdat ons werk draait om het vinden van kwetsbaarheden, weten wij als geen ander hoe waardevol een goede melding is.

Waarvoor geldt dit beleid?

Dit beleid is van toepassing op de systemen die Hackify zelf beheert:

  • hackify.nl en de bijbehorende subdomeinen;
  • de overige websites en applicaties die door Hackify worden beheerd;
  • de infrastructuur en netwerken van Hackify.

Een aantal zaken valt nadrukkelijk buiten dit beleid. Het gaat dan om diensten van derden die wij gebruiken maar niet zelf hosten, om social engineering gericht op onze medewerkers, om fysieke beveiliging en om aanvallen die de beschikbaarheid van een systeem in gevaar brengen, zoals een denial-of-service-aanval. Twijfelt u of iets binnen de scope valt, neem dan eerst contact met ons op voordat u verder gaat.

Wat vragen wij van u?

Om een melding verantwoord te houden, vragen wij u zich aan een paar uitgangspunten te houden.

  • Meld de kwetsbaarheid zo snel mogelijk nadat u die heeft ontdekt.
  • Geef genoeg informatie zodat wij het probleem kunnen reproduceren, zoals het betrokken systeem en de stappen die u heeft genomen.
  • Doe niet meer dan nodig is om de kwetsbaarheid aan te tonen. Stop zodra u het bewijs heeft.
  • Bekijk geen gegevens van anderen en wijzig of verwijder geen gegevens.
  • Heeft u tijdens uw onderzoek toch gegevens ingezien of gedownload, verwijder die dan direct nadat u uw bevinding heeft kunnen aantonen.
  • Maak geen gebruik van geautomatiseerde scanners zonder dat u dat vooraf met ons heeft afgestemd, en voer geen brute-force-aanvallen of denial-of-service-aanvallen uit.
  • Deel de kwetsbaarheid niet met anderen en maak deze niet openbaar zolang die nog niet is opgelost.

Houdt u zich aan deze uitgangspunten, dan beschouwen wij uw handelen als te goeder trouw.

Wat mag u van ons verwachten?

Meldt u een kwetsbaarheid volgens dit beleid, dan zeggen wij u het volgende toe.

  • U ontvangt binnen drie werkdagen een bevestiging dat wij uw melding hebben ontvangen.
  • Wij behandelen uw melding en uw gegevens vertrouwelijk en delen uw gegevens niet zonder uw toestemming met derden.
  • Wij houden u op de hoogte van de voortgang en van het moment waarop de kwetsbaarheid is verholpen.
  • Met uw toestemming vermelden wij uw naam of pseudoniem als dank voor uw bijdrage, nadat de kwetsbaarheid is opgelost.
  • Wij ondernemen geen juridische stappen tegen u en doen geen aangifte, zolang u zich aan dit beleid heeft gehouden.

Wij streven ernaar elke gemelde kwetsbaarheid binnen een redelijke termijn op te lossen en in onderling overleg te bepalen wanneer er eventueel iets over naar buiten wordt gebracht. Hoe snel dat gaat, hangt af van de ernst en de complexiteit van de kwetsbaarheid.

Hoe meldt u een kwetsbaarheid?

Stuur uw melding per e-mail naar [email protected]. Een bruikbare melding bevat in elk geval:

  • een beschrijving van de kwetsbaarheid en het type, bijvoorbeeld een cross-site scripting of een injectie;
  • het systeem, de URL of het endpoint waar het om gaat;
  • duidelijke stappen waarmee wij het probleem kunnen reproduceren, eventueel met voorbeelden of schermafbeeldingen;
  • een korte inschatting van wat een aanvaller met de kwetsbaarheid zou kunnen doen;
  • uw contactgegevens, zodat wij met u kunnen overleggen, en of u in een eventuele vermelding genoemd wilt worden.

Wij willen u vragen geen gevoelige gegevens van anderen mee te sturen. Een beschrijving van de kwetsbaarheid is voldoende.

Een opmerking over beloningen

Hackify heeft geen formeel bug bounty programma. Wij doen dit werk omdat wij de beveiliging van onze systemen belangrijk vinden, niet om een vergoeding uit te keren. Voor een waardevolle melding bedanken wij u graag met een vermelding, en als blijk van waardering bekijken wij per geval of een attentie op zijn plaats is. Een melding geeft geen recht op een beloning.

Vragen

Heeft u een vraag over dit beleid, of wilt u overleggen voordat u onderzoek doet? Neem dan vrijblijvend contact met ons op via [email protected].

Klaar om uw beveiliging te testen?

Neem vrijblijvend contact met ons op. We denken graag met u mee over de beste aanpak voor uw organisatie.

Neem contact op

Of mail ons direct via [email protected]