responsjpg

Responsible Disclosure

Bent u beveiligingsonderzoeker en heeft u kwetsbaarheden ontdekt in onze systemen? Dan willen we graag met u samenwerken om deze kwetsbaarheden te verhelpen voordat er misbruik van wordt gemaakt. Iedere dag zijn specialisten van de ABF Research bezig met het optimaliseren van onze systemen en processen. Op deze manier zijn onze klanten beter beschermd tegen misbruik en is de bereikbaarheid van diensten zo optimaal mogelijk. Dit betekent natuurlijk niet dat onze systemen perfect en vrij van alle mogelijke kwetsbaarheden zijn. Vandaar ook dat we graag samenwerken met experts op het gebied van informatiebeveiliging die een mogelijke kwetsbaarheid in een van onze systemen hebben gevonden.

In scope

We vragen u alle bevindingen met betrekking tot de beveiliging van de ABF diensten aan ons door te geven, liefst zo snel mogelijk. Denk hierbij aan:

  • Remote Code Execution
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • SQL Injection
  • Encryptiekwetsbaarheden
  • Omzeilen van authenticatie of ongeautoriseerde toegang tot data

Spelregels

Tijdens het onderzoek is het mogelijk dat er acties worden ondernomen die strafbaar zijn. Als dit gebeurt vanuit goed vertrouwen en de daarmee gepaard gaande bedoelingen gecombineerd met onderstaande regels is er geen enkele reden voor ABF Research dit door te geven aan de instanties. We verzoeken u vriendelijk onderstaande regels te volgen en niet onverantwoordelijk te handelen.

Maak de kwetsbaarheid niet publiek voordat we het opgelost hebben. In plaats daarvan, praat met onze experts en geef hen de tijd het probleem op te lossen. Zorg ervoor dat gedurende uw onderzoek en dat van ons met betrekking tot de gerapporteerde bevinding geen schade wordt toegebracht. Maak geen gebruik van Social Engineering om toegang te krijgen tot de IT-systemen van de ABF Research. Op geen enkele manier mag het onderzoek een verstoring veroorzaken van onze (online) diensten. Er is geen enkele geaccepteerde reden om een backdoor in het systeem achter te laten, ook niet om de kwetsbaarheid aan te tonen. Het aanbrengen van een backdoor zorgt ervoor dat de veiligheid nog meer wordt gecompromitteerd. Maak geen wijzigingen in de data en verwijder deze niet. In het geval dat het nodig is voor de bevindingen om een kopie te maken van de data in het systeem, beperk dit dan tot wat noodzakelijk is voor de bewijslast. Maak geen wijzigingen in de configuratie van het systeem. Beperk de penetratie van het systeem tot wat strikt noodzakelijk is om de kwetsbaarheid te vinden en aan te tonen. Indien toegang verkregen is, verwachten wij dat deze op geen enkele wijze gedeeld wordt met anderen. Gebruik geen brute force-technieken om toegang te krijgen tot de systemen. Gebruik geen technieken die de bereikbaarheid van onze (online) diensten beïnvloeden.

Bovenstaande regels (de zogenaamde responsible disclosure regeling) zijn tot stand gekomen in overleg met het Nationaal Cyber Security Centrum (www.ncsc.nl).

Afwijkende internationale regels

Houd er rekening mee dat wet- en regelgeving ook voor Responsible Disclosures in elk land verschillend is. In het geval dat u buiten Nederland verblijft, kan het zijn dat ons beleid niet volledig op u van toepassing is. Het kan dus zijn dat, ook al heeft u volgens de richtlijnen van het Responsible Disclosure beleid van de ABF Research gehandeld, er door justitie wordt opgetreden ondanks het feit dat ABF Research de kwetsbaarheid niet aan hen gerapporteerd heeft.

Melding

Beschrijf de gevonden kwetsbaarheid zo duidelijk en gedetailleerd mogelijk en voeg bewijs bij. U kunt er hierbij vanuit gaan dat de melding door technische beveiligingsexperts wordt gelezen. Vermeld minimaal het volgende:

  • Welke kwetsbaarheid is gevonden.
  • De volledige URL waar deze is gevonden.
  • De genomen stappen om de kwetsbaarheid te vinden.
  • Objecten (zoals filters of invoervelden) die een rol spelen.
  • Screen prints worden op prijs gesteld.

Stuur uw mail waarin u het probleem kort en bondig beschrijft naar responsibledisclosure@abf.nl. Een team van beveiligingsexperts onderzoekt uw melding. Geef hen de tijd om het probleem op te lossen. U hoort zo snel mogelijk wat we van uw melding vinden, of we een oplossing gaan toepassen en wanneer we dat gaan doen. Let op: we accepteren alleen rapporten in het Nederlands of Engels.

Beloning

ABF Research waardeert uw inzet om ons te helpen onze systemen en processen veilig te houden. Vandaar dat wij in de meeste gevallen tot een passende vergoeding over gaan. De hoogte van de vergoeding wordt bepaald op basis van impact. Hiervoor hoeven wij geen verantwoording af te leggen en behouden te allen tijde het recht om de vergoeding en de hoogte volledig zelfstandig te bepalen.

Als u in aanmerking komt voor een beloning, hebben wij uw persoonlijke gegevens nodig om de betaling uit te kunnen voeren. Een beloning wordt niet uitgekeerd als:

  • afzonderlijke partijen dezelfde kwetsbaarheid rapporteren. In dat geval krijgt de eerste melder een beloning.
  • u woonachtig bent in een sanctieland.
  • de kwetsbaarheid al bij ons bekend is.
  • er sprake is van misbruik of schending van spelregels.

Uitsluitingen

ABF Research kent geen beloning toe voor triviale of niet uit te buiten bugs. Hieronder staan een aantal voorbeelden van bekende kwetsbaarheden en geaccepteerde risico’s waarvoor geen beloning wordt uitbetaald.

  • HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s.
  • Fingerprinting/versie banner disclosure op algemene/publieke services.
  • Publiek toegankelijke bestanden en mappen met niet gevoelige informatie (e.g. robots.txt).
  • Clickjacking en gerelateerd kwetsbaarheden.
  • CSRF op formulieren die beschikbaar zijn zonder sessie (bijvoorbeeld een contactformulier/inlogformulier).
  • Cross-Site Request Forgery op uitlogfunctie.
  • Aanwezigheid van ‘autocomplete’ of ‘save password functionaliteit.
  • Ontbreken van ‘Secure’ / ‘HTTP Only’ vlaggen op niet gevoelige cookies.
  • Zwakke CAPTCHA of CAPTCHA omzeiling.
  • Bruteforce op Vergeet Wachtwoord Pagina en Account Lockout niet afgedwongen.
  • OPTIONS Method staat aan.
  • Username / E-mail enumeratie door bruteforce pogingen: via Login foutmeldingen en 'Vergeet Wachtwoord'-foutmeldingen
  • Ontbreken van HTTP Security Headers zoals: Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP.
  • SSL-configuratie-zwakheden: SSL-aanvallen die niet van buitenaf zijn te misbruiken, SSL ‘Forward Secrecy’ ontbreekt, SSL zwakke en onveilige cipher suites.
  • SPF, DKIM, DMARC issues.
  • Host Header Injection

Privacy

Om u op de hoogte te houden en een eventuele beloning toe te kunnen kennen, vragen we uw contactinformatie zoals naam, e-mailadres en in een enkel geval het telefoonnummer. Als de kwetsbaarheid anoniem gerapporteerd wordt, respecteren we dit.

De contactinformatie wordt enkel en alleen gebruikt om u over bovenstaande zaken op de hoogte te houden en wordt niet doorgegeven aan derde partijen zonder uw expliciete toestemming. Dit is echter niet het geval als we bij wet verplicht zijn dit door te geven of wanneer wij het onderzoek van de gemelde kwetsbaarheid overdragen aan een externe partij. In deze gevallen doen wij al het mogelijk om deze informatie vertrouwelijk te laten behandelen en voelen wij ons verantwoordelijk voor de informatie.