Skip to the main content

Responsible disclosure en
Bounty programma

 

Bij Dotlab staat veiligheid hoog in het vaandel. Ondanks onze inspanningen kunnen er onbekende kwetsbaarheden in onze systemen voorkomen. Mocht je een dergelijke kwetsbaarheid ontdekken, stellen we een melding zeer op prijs. Als onderdeel van onze toewijding aan beveiliging belonen we onderzoekers die kritieke problemen rapporteren middels ons bounty-programma. Op deze pagina vind je de criteria voor meldingen en de details van ons bounty-programma. Samen streven we naar een optimale beveiliging van onze systemen en gebruikers.

Geen uitnodiging tot actief scannen

Ons beleid is geen uitnodiging om ons netwerk of onze systemen uitgebreid actief te scannen op kwetsbaarheden. Wij monitoren namelijk zelf ook ons bedrijfsnetwerk. Daardoor is de kans groot dat we je scan oppikken, dat ons security team onderzoek doet, wat mogelijk leidt tot onnodige kosten.

Strafrechtelijke vervolging

Het is mogelijk dat je tijdens je onderzoek handelingen uitvoert die volgens het strafrecht strafbaar zijn. Heb je je aan onderstaande voorwaarden gehouden, dan ondernemen wij geen juridische stappen tegen je. Het Openbaar Ministerie heeft echter altijd het recht om zelf te beslissen of het je strafrechtelijk vervolgt.

Verboden handelingen

De volgende bewerkingen zijn verboden en we zullen niet reageren op rapporten wanneer deze methoden worden gebruikt.

  • Geautomatiseerde tools gebruiken voor enorme scans – tests die worden uitgevoerd voor beveiligingsonderzoek mogen geen negatieve invloed hebben op onze infrastructuur en websites. Dit soort testen kan worden behandeld als een DOS-aanval en we kunnen acties ondernemen om dit type verkeer te blokkeren en te voorkomen dat de situatie zich herhaalt.
  • Het delen van informatie over kwetsbaarheden met mensen die niet geautoriseerd zijn door Dotlab.
  • Het uitvoeren van acties die Dotlab of door Dotlab ontwikkelde websites negatief kunnen beïnvloeden (bijv. SPAM).
  • Elke vorm van fysieke aanval op IT-infrastructuur en/of bedrijfspersoneel.
  • Social engineering – d.w.z. phishing, vishing, smishing op een van de websites.
  • Gegevens exfiltreren – er moeten tests worden uitgevoerd op de minimale hoeveelheid gegevens die nodig is om de kwetsbaarheid te bevestigen.
  • Het overtreden van toepasselijke wetten of het overtreden van toepasselijke overeenkomsten om kwetsbaarheden te ontdekken.

Uitgesloten problemen:

  • Kwetsbaarheden die gebruikers van verouderde of niet-ondersteunde browsers of platforms treffen
  • Cross-site scripting-bugs die een onwaarschijnlijke hoeveelheid gebruikersinteractie vereisen
  • Cross-site request forgery (CSRF) op niet-geverifieerde formulieren of formulieren zonder gevoelige acties
  • Ontbrekende (RE)CAPTCHA
  • Wachtwoordcomplexiteit of accountherstelbeleid
  • HTTPS gemengde inhoud
  • Problemen zonder duidelijk geïdentificeerde beveiligingsimpact
  • Wereldwijde beveiligingsheaders
  • Ongeldige of ontbrekende SPF-, DKIM-, DMARC-records
  • Zwakke SSL/TLS-coderingssuites
  • Het verzenden van kwetsbaarheidsrapporten met behulp van geautomatiseerde tools zonder validatie
  • Gebruik van een bekende-kwetsbare bibliotheek zonder bewijs van misbruik
  • Aanvallen die fysieke toegang tot een ontgrendeld gebruikersapparaat vereisen
  • Rapporten van SPAM, phishing of best practices op het gebied van beveiliging
  • Openbaarmaking van softwareversie / problemen met banneridentificatie / beschrijvende foutmeldingen of headers (bijv. stacktraces, applicatie- of serverfouten)
  • Ontbrekende cookievlaggen op niet-gevoelige cookies
  • Gebruikers met superuser-privileges die willekeurig JavaScript plaatsen (bijvoorbeeld via de Tag Manager-module)
  • Path disclosure
  • Kwetsbaarheden die al bekend zijn en gemeld zijn door andere beveiligingsonderzoekers

Wat vragen we jou?

  • Meld je bevindingen zo snel mogelijk via onderstaand formulier. Versleutel je bevindingen om te voorkomen dat de informatie in verkeerde handen valt.
  • Misbruik de gevonden kwetsbaarheid niet door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen en/of de gegevens te veranderen of verwijderen.
  • Wees extra terughoudend bij persoonsgegevens.
  • Deel de kwetsbaarheid niet met anderen totdat deze is opgelost.
  • Maak geen gebruik van aanvallen op fysieke beveiliging of applicaties van derden, van social engineering, (distributed) denial-of-service, malware, of spam.
  • Geef voldoende informatie om de kwetsbaarheid te reproduceren, zodat wij deze zo snel mogelijk kunnen oplossen. Meestal zijn het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid en de uitgevoerde handelingen voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Hoe kun je rapporteren?

Neem contact met ons op via het formulier onderaan deze pagina met een beschrijving van de stappen die nodig zijn om het probleem te reproduceren.

Geef een gedetailleerde samenvatting van de kwetsbaarheid, inclusief:

  • Type probleem
  • Datum en tijd waarop de bug werd gedetecteerd
  • Product, versie en configuratie van de software dat de bug bevat
  • Stapsgewijze instructies om het probleem te reproduceren (bewijs van concept)
  • URL van de website(s) waar de kwetsbaarheid werd gevonden
  • Impact van het probleem
  • Voorgestelde mitigerende of corrigerende acties
  • PayPal-account voor het overmaken van het premiebedrag

Opmerking: Wanneer een beveiligingsprobleem al is gerapporteerd, wordt de premie toegewezen aan de persoon die het eerst rapporteerde. Alle rapporten van hetzelfde probleem na het eerste rapport zullen geen premie krijgen.

Vermijd dus in elk geval de volgende handelingen:

  • Het plaatsen van malware.
  • Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
  • Het aanbrengen van veranderingen in het systeem.
  • Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  • Het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.
  • Het gebruik maken van denial-of-service of social engineering.

Onze belofte aan jou:

  • Wij reageren binnen 3 werkdagen met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Wij behandelen je melding vertrouwelijk en zullen je persoonlijke gegevens niet zonder je toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • Wij houden je op de hoogte van de voortgang van het oplossen van de kwetsbaarheid.
  • Je kunt anoniem of onder een pseudoniem melden. Wij kunnen dan echter geen contact met je opnemen over bijvoorbeeld de vervolgstappen, voortgang van het dichten van het lek, publicatie of de eventuele beloning voor de melding.
  • In berichtgeving over de gemelde kwetsbaarheid zullen wij, als je dit wilt, je naam vermelden als de ontdekker van de kwetsbaarheid.
  • Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en alle betrokken partijen op de hoogte te houden. Wij zijn graag betrokken bij een eventuele publicatie over de kwetsbaarheid, nadat deze is opgelost.
  • Wij kunnen je een beloning geven als dank voor je hulp en onderzoek, maar zijn hiertoe niet verplicht.

Wij werken graag met je samen om onze gebruikers en systemen beter te kunnen beschermen!

Bounty betalingen

Beloningen zijn gebaseerd op de ernst van de bug. Hieronder vindt je voorbeelden van problemen die gekwalificeerd zijn voor elk type severity level.

Kritiek: €120,-
Voorbeeldproblemen die als kritiek worden aangemerkt:

  • Uitvoering van externe code
  • Privilege escalatie

Hoog: €80,-
Voorbeeldproblemen die als hoog kwalificeren:

  • SQL injecties.
  • CSRF.
  • XSS zonder gebruikersinteractie.
  • Openbaarmaking van klantgegevens.

Gemiddeld: €40,-
Voorbeeldprobleem dat als medium kwalificeert:

  • XSS met gebruikersinteractie.
  • Het kunnen versturen van spam via formulieren op de website.

Laag: €0,-

  • We betalen geen premie voor kleine problemen.

Bounties worden betaald via PayPal. De ernst kan worden berekend op basis van de CVSS-calculator (base score). Meer informatie vind je hier. Alle premies worden binnen 5 werkdagen betaald, vanaf het moment dat er een reactie is verzonden over de gemelde kwetsbaarheid.

Melding maken