Responsible Disclosure Policy
Brainy.nl vindt de veiligheid van de hostingsystemen, websites en alle daaraan verbonden diensten erg belangrijk. Ondanks de zorg voor de beveiliging van alle systemen kan het voorkomen dat er toch een keer een tijdelijk lek of zwakke plek is.
Als je een lek of zwakke plek in één van onze systemen (samenhangend of gehost door en bij brainy.nl) vindt, horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen hierbij natuurlijk graag met jou samenwerken om de klanten van brainy.nl, de diensten en systemen beter te kunnen beschermen. Deze Responsible Disclosure Policy beschrijft wat wij van jou vragen en hoe wij zullen reageren op jouw meldingen.
Wij kunnen deze Responsible Disclosure Policy van tijd tot tijd aanpassen. Wij raden je aan deze Responsible Disclosure Policy regelmatig te raadplegen indien je gebruikt maakt van onze systemen of deze uit eigen beweging test.
Hoe doe je een melding?
Informatie over een lek of zwakke plek (kwetsbaarheid) kun je zo spoedig mogelijk na ontdekking mailen naar
Vermeld in het bericht voldoende informatie en de handelingen om het te reproduceren zodat wij het probleem of kwetsbaarheid zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
Wij vragen je bij de melding jouw naam, e-mailadres en telefoonnummer te vermelden. Dit hoeft echter niet. Je kunt het ook onder een pseudoniem melden.
Wat zijn de spelregels?
Omdat wij het op prijs stellen dat je meedenkt met ons, bieden wij als dank voor jouw hulp een beloning aan voor elke melding van een ons nog onbekende kwetsbaarheid. Voorwaarde daarbij is dat je je aan alle spelregels uit deze policy houdt en wij de kwetsbaarheid door jouw melding hebben verholpen. Het spreekt daarbij verder voor zich dat de door jou gemelde kwetsbaarheid niet (mede) door jou mag zijn veroorzaakt. De beloning is in de vorm van een dienst. De grootte van de beloning bepalen wij mede aan de hand van de ernst van de kwetsbaarheid, de snelheid van het melden en de kwaliteit van de melding.
Wij hanteren de volgende spelregels:
De kwetsbaarheden zijn op systemen of websites die direct samenhangen met brainy.nl. Software en servers die door partners worden aangeboden vallen hier expliciet buiten.
Je mag de kwetsbaarheden niet verder gebruiken dan noodzakelijk voor jouw onderzoek. Dit betekent onder andere dat je geen veranderingen in het systeem of de beveiliging aanbrengt, geen (persoons)gegevens, waartoe je niet gerechtigd bent, aanpast, verwijdert, downloadt, verspreidt of kopieert, geen toegang verschaft aan derden, geen eigen backdoor plaatst en geen spam verstuurt via ons systeem.
Alle gegevens die zijn verkregen in het kader van het ontdekken van de kwetsbaarheid moet je direct na het melden, wissen.
Je mag geen gebruik maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, brute force, of applicaties van derden.
Het vaststellen van kwetsbaarheden mag nooit leiden tot schade aan diensten van brainy.nl, waaronder reputatieschade en verstoring van onze dienstverlening.
Wanneer je kwetsbaarheden vindt en deze bij ons meldt, kan het zijn dat jij, ook als je je aan deze spelregels hebt gehouden, handelingen verricht die strafbaar of anderszins onrechtmatig zijn. Handel je integer, volg je onze spelregels en meld je de kwetsbaarheid direct aan ons, dan zullen wij geen juridische stappen ondernemen. Wij zijn evenwel niet verantwoordelijk voor jouw handelingen, en kunnen niet uitsluiten dat dit als strafbaar gedrag of anderszins in strijd met enige regel of verplichting wordt aangemerkt.
Uitgesloten is het melden van:
- Alle meldingen zonder een duidelijk rapport met het bewijs van mogelijke exploitatie
- Ons beleid ten aanzien van de aanwezigheid of afwezigheid van SPF / DKIM / DMARC records
- Cross Site Request Forgery (CSRF) kwetsbaarheden op statische pagina’s (alleen op pagina’s na inloggen)
- Redirection van HTTP naar HTTPS
- HTML does not specify charset
- HTML uses unrecognized charset
- Cookie zonder HttpOnly vlag
- Geen gebruik van HTTP Strict Transport Security (HSTS)
- Clickjacking of de afwezigheid van X-Frame-Options op niet inlog pagina’s
- User enumeration
- Mogelijk verouderde server- of applicatie versies (van externe partijen) zonder bewijs dat deze versies kwetsbaar zijn en bewijs van exploitatie
- Rapporten van onveilige SSL / TLS protocollen en andere misconfiguraties
- Generieke kwetsbaarheden gerelateerd aan software of protocollen die niet onder controle van brainy.nl vallen
- Distributed Denial of Service (DDoS) aanvallen
- Spam of Social Engineering technieken
- Rapporten van reguliere scans zoals poortscanners
- Bij het CMS bekende en onbekende kwetsbaarheden die nog niet opgelost zijn of waarvan de update waarin deze opgelost zijn jonger dan 7 dagen zijn.
Wat doet brainy.nl met een melding?
Wij streven er naar om binnen 2 werkdagen op jouw melding te reageren met onze beoordeling van de melding en een verwachte datum voor een oplossing, indien wij jou die op dat moment kunnen geven.
Wij behandelen jouw melding vertrouwelijk en zullen jouw persoonsgegevens niet zonder jouw ondubbelzinnige toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Wij zullen jouw persoonsgegevens ook niet langer bewaren dan noodzakelijk is voor het oplossen van de kwetsbaarheid.
Voor zover dit passend en mogelijk is, houden wij jou op de hoogte van de voortgang van het oplossen van het probleem.
Communicatie
Het kan voorkomen dat brainy.nl informatie over kwetsbaarheden naar buiten brengt of verplicht is deze informatie te melden bij een toezichthouder en/of de betrokkenen, waarop de gegevens betrekking hebben. Wanneer jij dat wenst, zullen wij jouw naam of pseudoniem als ontdekker vermelden in de berichtgeving over de gemelde kwetsbaarheid.
Je mag geen informatie over de kwetsbaarheid en onze eventuele oplossingen naar buiten brengen zonder dat brainy.nl daar haar uitdrukkelijke schriftelijke toestemming voor heeft gegeven.
Deze Responsible Disclosure Policy is gepubliceerd op 5 maart 2021.