Responsible disclosure

Je voert misschien handelingen uit die volgens het strafrecht strafbaar zijn. Houd je je aan onderstaande voorwaarden, dan ondernemen we geen juridische stappen tegen je. Het Openbaar Ministerie heeft echter het recht zelf te beslissen of het je strafrechtelijk vervolgt.

• Mail je bevindingen naar cert@han.nl
• Verstuur je gevoelige of persoonsgegevens, versleutel dan je e-mail;
  • Pgp key: https://keys.openpgp.org/vks/v1/by-fingerprint/E064184F943D76C101F5F1705E4776FB94A1B643
• Geef voldoende informatie zodat wij de kwetsbaarheid kunnen reproduceren; denk aan:
  • uitgevoerde commando’s / stappen;
  • screenshots;
  • Zorg er, indien relevant, zoveel mogelijk voor dat wij op basis van je melding de kwetsbaarheid zelf kunnen reproduceren.
• Doe niet meer dan noodzakelijk om de kwetsbaarheid aan te tonen:
  • Download niet meer data dan strikt noodzakelijk.
  • Wijzig of verwijder geen data.
  • Doe niets dat onze voorzieningen kan beschadigen of personen in gevaar kan brengen.
  • Wees voorzichtig met persoonsgegevens.
• Gebruik geen:
  • aanvallen op fysieke beveiliging of applicaties van derden;
  • social engineering;
  • distributed denial-of-service (DDOS);
  • spam;
  • phishing;
• Deel de kwetsbaarheid niet tot wij bevestigen dat deze gemitigeerd is.
• Houd rekening met proportionaliteit:
  • Maakt de kwetsbaarheid het mogelijk data te wijzigen (op onze website bijvoorbeeld) en je wilt dit aantonen; doe dit dan door iets subtiels te wijzigen.
  • Kun je een database benaderen, dan is een volledige dump ervan overbodig. Een simpel select statement met triviale data is voldoende.
• Verwijder alle data die je hebt gedownload als wij de kwetsbaarheid gemitigeerd hebben of als wij er om vragen en deel deze uiteraard niet.
• Ons responsible disclosure-beleid is geen oproep om ons netwerk automatisch te scannen, dat doen we zelf af. Je scan zal worden opgemerkt en onderzocht worden, wat leidt tot onnodig werk en onnodige kosten.

• Wij reageren binnen 5 werkdagen met onze beoordeling en verwachte doorlooptijd.
• We behandelen je melding vertrouwelijk en delen jouw persoonsgegevens niet met derden tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
• Wij houden je op de hoogte van de voortgang.
• In eventuele berichtgeving over de gemelde kwetsbaarheid vermelden we jouw naam, indien je dit wenst.
• Wanneer je de eerste bent die een bepaalde kwetsbaarheid meldt:
  • Op basis van de ernst van de kwetsbaarheid, de grootte van het door ons gelopen risico en de kwaliteit van de melding belonen we je.
  • Dit kan variëren van een dankjewel tot een kleine gift.

• HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s en content spoofing/text injecting op deze pagina's;
• fingerprinting/versievermelding op publieke services;
• publieke bestanden of directories met ongevoelige informatie (bijvoorbeeld robots.txt);
• clickjacking en problemen die alleen te exploiten zijn via clickjacking;
• geen secure/HTTP-only flags op ongevoelige cookies;
• OPTIONS HTTP method ingeschakeld;
• alles gerelateerd tot HTTP security headers, bijvoorbeeld:
  • Strict-Transport-Security;
  • X-Frame-Options;
  • X-XSS-Protection;
  • X-Content-Type-Options;
  • Content-Security-Policy;
• issues met SSL-configuratie issues
  • SSL Forward secrecy uitgeschakeld;
  • zwakke/onveilige cipher suites;
• issues met SPF, DKIM of DMARC;
• host header injection;
• rapporteren van verouderde versies van enige software zonder een proof of concept van een werkende exploit;
• informatieblootstelling in metadata;

Neem contact op met ons via cert@han.nl

Pgp key: https://keys.openpgp.org/vks/v1/by-fingerprint/E064184F943D76C101F5F1705E4776FB94A1B643

Kwetsbaarheid	Gemeld door