Responsible disclosure beleid

Om elke dag weer de bezorging van duizenden pakketjes en brieven in goede banen te leiden, besteden we veel aandacht aan de veiligheid van onze IT systemen. Toch kan het voorkomen dat er ergens een lek bevindt. Vind jij een kwetsbaarheid in onze systemen, dan pakken we dit graag samen met jou op. En wie weet verdien jij er een plek mee in onze Hall of Fame.

... dan ben je aan de volgende spelregels gebonden:

• Voor het beoordelen van je melding werken we samen met Zerocopter. Je kunt op hun website je bevinding aanmelden.
• Het niet misbruiken van je bevinding door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen.
• Het niet delen met anderen van je bevinding totdat het door ons is opgelost of als we dit samen hebben afgesproken.
• Onze vertrouwelijke gegevens die eventueel zijn verkregen als gevolg van de zwakke plek, na afstemming met ons direct te wissen en/of te vernietigen.
• Het niet gebruiken van de bevinding om aanvallen op fysieke beveiliging te doen.
• De bevinding niet te doen door middel van social engineering, distributed denial of service of spam.
• Als het vinden van de kwetsbaarheid in onze systemen een gevolg is van een mogelijk strafbaar feit of van onrechtmatig handelen, zullen wij geen juridische maatregelen tegen je treffen als je je aan onze voorwaarden met betrekking tot onze 'Responsible Disclosure' hebt gehouden.

• User enumeration zonder enige impact 
• Clickjacking zonder een security/privacy risico op pagina's zonder gevoelige acties 
• Denial of service 
• Kwetsbaarheden zonder duidelijk security risico (bijvoorbeeld: Logged-Out CSRF) 
• CSRF zonder gedemonstreerde kwetsbaarheid
• Self XSS of XSS enkel mogelijk op zeer verouderde browsers 
• Content spoofing/text injection dat niet resulteert in XSS of sensitive data disclosure 
• Rate limiting kwetsbaarheden zonder duidelijke impact 
• Rapporten van tools en scans 
• Missende cookie flags op non-gevoelige cookies 
• Missende security headers die niet direct leiden naar een kwetsbaarheid 
• Version exposure 
• Directory listing met publieke content 
• Missende best practices in SSL/TLS configuratie

• Wij zo snel mogelijk reageren op je melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
• Wij je melding vertrouwelijk behandelen en je persoonlijke gegevens niet zonder je toestemming met derden te delen tenzij dat noodzakelijk is om de melding op te lossen, of een wettelijke verplichting na te komen. Je kunt je melding bij ons ook anoniem doen.
• Wij je op de hoogte houden van de voortgang van het oplossen van het probleem als je dat aan ons hebt gevraagd.
• Wij je, bij middel en hoge bevindingen, belonen met een pakketje met goodies wanneer jij de eerste bent die de kwetsbaarheid meldt en we een aanpassing hebben gedaan door jouw melding.
• Wij jouw naam, bij middel en hoge bevindingen, op onze Hall of Fame zullen vermelden, uiteraard alleen met expliciete, geïnformeerde, ondubbelzinnige en vrij gegeven toestemming (wanneer je de eerste bent die deze kwetsbaarheid meldt en we een aanpassing hebben gedaan n.a.v. jouw melding)
• Als het vinden van de kwetsbaarheid in onze systemen een gevolg is van een mogelijk strafbaar of onrechtmatig handelen, zullen wij geen juridische maatregelen tegen je treffen als je zich aan onze voorwaarden met betrekking tot onze 'Responsible Disclosure' hebt gehouden.

Wij streven ernaar om alle meldingen zo snel mogelijk op te lossen. Is het zo dat je na de oplossing van het probleem bekendheid zoekt of hierover wil publiceren, dan verzoeken wij je de publicatie met ons af te stemmen en ons voorafgaand te informeren.

Deze Responsible Disclosure is gebaseerd op een voorbeeld van Floor Terra.