Kwetsbaarheden melden

Bij VI Company beschouwen wij de beveiliging van onze systemen als een topprioriteit. Hoeveel moeite we ook doen om de beveiliging van het systeem te verbeteren, kwetsbaarheden kunnen toch doorsijpelen. Als u een kwetsbaarheid ontdekt, willen we hier graag meer over weten zodat we stappen kunnen ondernemen om deze zo snel mogelijk aan te pakken. We willen u vragen ons te helpen onze klanten en onze systemen beter te beschermen.

Naar onze mening is de praktijk van 'responsible disclosure' de beste manier om internet te beveiligen. Het stelt individuen in staat bedrijven als VI Company op de hoogte te stellen van beveiligingsrisico's voordat ze de informatie openbaar maken. Dit geeft ons een vechtkans om het probleem op te lossen voordat de crimineel ingestelde mensen zich ervan bewust worden.

Responsible Disclosure is de beste praktijk in de branche en we bevelen het aan als een procedure voor iedereen die omgaat met kwestbaarheden.

Geen uitnodiging om ons netwerk actief te scannen

Ons Responsible Disclosure beleid is geen uitnodiging om ons netwerk of onze systemen actief te scannen op tekortkomingen. We houden ons bedrijfsnetwerk in de gaten. Daarom nemen we waarschijnlijk uw scan op, die ons First Response Team (FRT) zal onderzoeken, wat mogelijk tot onnodige kosten leidt.

Gerechtelijke vervolging

Tijdens uw onderzoek kan het mogelijk zijn dat u acties uitvoert die bij wet verboden zijn. Wij adviseren u om dit niet te doen, maar als u aan de voorwaarden in deze overeenkomst hebt voldaan, zullen we geen juridische stappen ondernemen tegen u als VI Company. De officier van justitie heeft echter altijd het recht om te beslissen om u wel of niet te vervolgen.

Regels

We zijn geïnteresseerd in beveiligingsproblemen in onze eigen webservices. Dit betekent dat onze klanten zijn vrijgesteld van deze scope tenzij expliciet word vermeld dat ze dat niet zijn. Als u in aanmerking wilt komen voor een beloning, moet u er rekening mee houden dat het probleemrapport doorgaans een daadwerkelijke beveiligingsimpact moet hebben in een realistisch scenario. Dit betekent niet dat u de problemen volledig moet benutten, als u ons zoveel mogelijk informatie verschaft met duidelijke scenario's dan zullen wij uw rapport analyseren en conclusies trekken over de impact.

Er zijn een aantal dingen die we expliciet vragen om niet te doen:

  • Maak tijdens uw tests alleen gebruik van testaccounts die u beheert. Een proof of concept dat onnodig accounts van andere eindgebruikers of werknemers van VI Company gebruikt, kan worden gediskwalificeerd.
  • Test niet de fysieke beveiliging van kantoren, werknemers, apparatuur, etc. van VI Company.
  • Test niet met behulp van social engineering-technieken (phishing, vishing, etc.)
  • Voer geen DoS- of DDoS-aanvallen uit.
  • Val op geen enkele manier onze eindgebruikers aan en handel niet met gestolen gebruikers gegevens.
  • Misbruik de gevonden kwetsbaarheid niet door:
    • Meer gegevens downloaden dan nodig
    • Gegevens wijzigen of verwijderen
    • Het beveiligingslek delen voordat het is opgelost

Ons verzoek aan u:

  • Rapporteer uw bevindingen zo snel mogelijk via een e-mail aan support@vicompany.nl.
  • Verstrek voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal volstaan het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid, maar complexe kwetsbaarheden vereisen mogelijk verdere uitleg.
  • Geef ons een minimum van 30 dagen om het probleem op te lossen voordat je de kwetsbaarheid openbaar maakt.

Wat wij beloven:

  • We zullen binnen drie werkdagen reageren op uw rapport met onze evaluatie van het rapport en een verwachte datum voor de oplossing.
  • Als u de bovenstaande instructies hebt gevolgd, nemen we geen juridische stappen tegen u met betrekking tot het rapport.
  • Wij zullen uw melding strikt vertrouwelijk behandelen en uw persoonlijke gegevens niet aan derden doorgeven zonder uw toestemming.
  • We houden u op de hoogte van de voortgang bij het oplossen van het probleem.
  • Bij publieke informatie over het gemelde probleem, zullen wij uw naam geven als de ontdekker van het probleem (tenzij u anders wenst).
  • Als blijk van onze dankbaarheid voor uw hulp bieden we een beloning voor elk rapport over een beveiligingsprobleem dat bij ons nog niet bekend was. Het bedrag van de beloning wordt bepaald op basis van de ernst van het lek en de kwaliteit van het rapport. De minimale beloning is €75.

Van toepassing op:

De volgende bevindingstypen zijn specifiek uitgesloten van de bounty

  • Beschrijvende foutmeldingen (bijvoorbeeld Stack Traces, applicatie- of serverfouten).
  • HTTP 404-codes/pagina's of andere niet HTTP 200 codes/pagina's.
  • Security header issues zonder proof of concept.
Terug naar boven

Deel anonieme data?

We vinden privacy belangrijk en volgen de nieuwe GDPR regels en voorschriften. Dit betekent dat we een opt-in voor het gebruik van Google Analytics aanbieden.