Bij Alloq is de beveiliging van onze systemen een topprioriteit. Hoeveel moeite wij ook doen om de beveiliging van het systeem te verbeteren, kwetsbaarheden kunnen toch doorsijpelen. Als je een kwetsbaarheid ontdekt, willen wij hier graag meer over weten. Wij kunnen dan de stappen ondernemen om deze kwetsbaarheid zo snel mogelijk op te lossen. Samen kunnen wij de software nóg beter beschermen.
Uit onze ervaring blijkt dat ‘responsible disclosure’ de beste methode is om het internet te beveiligen. Het stelt individuen in staat bedrijven als Alloq op de hoogte te brengen van beveiligingsrisico’s voordat deze informatie openbaar wordt gemaakt. Dit geeft ons de kans om het probleem op te lossen voordat crimineel ingestelde individuen zich hiervan bewust worden.
Responsible disclosure is de beste methodiek in de branche. Wij bevelen deze procedure dan ook aan iedereen aan die met kwetsbaarheden omgaat.
Geen uitnodiging om ons netwerk actief te scannen
Ons responsible disclosure beleid is geen uitnodiging om ons netwerk of onze systemen actief te scannen op kwetsbaarheden. We houden ons bedrijfsnetwerk in de gaten. Wij nemen een scan op, die ons first respons team (FRT) onderzoekt. Dit kan mogelijk tot onnodige kosten leiden.
Gerechtelijke vervolging
Tijdens jouw onderzoek kan het mogelijk zijn dat je acties uitvoert die bij wet verboden zijn. Wij adviseren dit niet te doen. Als je aan de voorwaarden in deze overeenkomst voldoet, zullen we geen juridische stappen ondernemen tegen je als Alloq of VI Company. De officier van justitie heeft echter altijd het recht te beslissen om je alsnog te vervolgen.
Regels
We zijn altijd geïnteresseerd in beveiligingsproblemen in onze eigen webservices. Dit betekent dat onze klanten zijn vrijgesteld van deze scope, tenzij expliciet wordt vermeld dat ze dat niet zijn. Als je in aanmerking wil komen voor een beloning, is het belangrijk om er rekening mee te houden dat het probleemrapportage doorgaans en daadwerkelijke beveiligingsimpact moet hebben in een realistisch scenario. Dit betekent niet dat je de problemen volledig moet benutten. Als je ons voorziet van zoveel mogelijk informatie met duidelijke scenario’s, zullen wij jouw rapport analyseren en hier conclusies uit trekken over de impact.
Er zijn een aantal dingen die we expliciet vragen om niet te doen:
- Maak tijdens uw tests alleen gebruik van testaccounts die u beheert. Een proof of concept dat onnodig accounts van andere eindgebruikers of werknemers van VI Company gebruikt, kan worden gediskwalificeerd.
- Test niet de fysieke beveiliging van kantoren, werknemers, apparatuur, etc. van VI Company.
- Test niet met behulp van social engineering-technieken (phishing, vishing, etc.)
- Voer geen DoS- of DDoS-aanvallen uit.
- Val op geen enkele manier onze eindgebruikers aan en handel niet met gestolen gebruikers gegevens.
- Misbruik de gevonden kwetsbaarheid niet door:
- Meer gegevens downloaden dan nodig is;
- Gegevens wijzigen of verwijderen;
- Het beveiligingslek delen voordat het is opgelost.
Ons verzoek aan u:
- Rapporteer jouw bevindingen zo snel mogelijk via een e-mail aan [email protected].
- Verstrek voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal volstaan het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid, maar complexe kwetsbaarheden vereisen mogelijk verdere uitleg.
- Geef ons een minimum van 30 dagen om het probleem op te lossen voordat je de kwetsbaarheid openbaar maakt.
Wat wij beloven:
- We zullen binnen drie werkdagen reageren op uw rapport met onze evaluatie van het rapport en een verwachte datum voor de oplossing.
- Als u de bovenstaande instructies hebt gevolgd, nemen we geen juridische stappen tegen u met betrekking tot het rapport.
- Wij zullen uw melding strikt vertrouwelijk behandelen en uw persoonlijke gegevens niet aan derden doorgeven zonder uw toestemming.
- We houden u op de hoogte van de voortgang bij het oplossen van het probleem.
- Bij publieke informatie over het gemelde probleem, zullen wij uw naam geven als de ontdekker van het probleem (tenzij u anders wenst).
- Als blijk van onze dankbaarheid voor uw hulp bieden we een beloning voor elk rapport over een beveiligingsprobleem dat bij ons nog niet bekend was. Het bedrag van de beloning wordt bepaald op basis van de ernst van het lek en de kwaliteit van het rapport. De minimale beloning is €75.
Van toepassing op:
De volgende bevindingstypen zijn specifiek uitgesloten van de bounty
- Beschrijvende foutmeldingen (bijvoorbeeld Stack Traces, applicatie- of serverfouten).
- HTTP 404-codes/pagina’s of andere niet HTTP 200 codes/pagina’s.
- Security header issues zonder proof of concept.