Responsible disclosure-beleid

Opgesteld op 9 mei 2017

 

Let op: Dit emailadres is niet bedoeld voor fouten die u op een site vindt, zoals een ontbrekende pagina of een tekst die niet klopt.

U kunt uw bevindingen mailen naar noc@reshift.nl. Het is mogelijk om berichten versleuteld te versturen met deze PGP-sleutel.

Een melding kan ook anoniem. In dat geval kan Reshift echter geen contact met u opnemen voor een eventuele beloning.

 

Regels

We vragen u de volgende regels te volgen:

  • Geef een zo gedetailleerd mogelijke beschrijving van de kwetsbaarheid, indien mogelijk inclusief log-files.
  • Laat uw contactgegevens achter zodat wij sneller contact kunnen opnemen over een eventuele oplossing.
  • Wij sturen zo snel mogelijk een ontvangstbevestiging en een periode waarin wij verwachten het lek eventueel op te lossen. De melding wordt vertrouwelijk behandeld, en we houden u op de hoogte van de vorderingen van het probleem.
  • Mogelijk neemt één van onze ontwikkelaars contact op met eventuele vervolgvragen.
  • Ga verantwoordelijk om met de kwetsbaarheid, door die niet voortijdig te publiceren, door geen backdoors te plaatsen, geen brute-force-aanvallen op onze servers uit te voeren of gegevens te verwijderen of te kopiëren. Wanneer dat wel gebeurt kan Reshift mogelijk aangifte doen van misbruik.
  • Gebruik geen brute-force technieken of social engineering
  • Wijzig geen gegevens of instellingen op onze systemen

Publicatie

We vragen u om in ieder geval niets van de kwetsbaarheid te publiceren tot onze ontwikkelaars het probleem hebben opgelost. Daarna mag u een kwetsbaarheid gerust op uw blog of site zetten.

Reshift zet daarnaast uw naam graag op onze Hall of Fame van iedereen die heeft geholpen met het verhelpen van een kwetsbaarheid.

Beloning

We zijn dankbaar voor iedereen die ons helpt om kwetsbaarheden in onze systemen op te lossen, en delen dan ook graag een beloning uit. Reshift is echter niet verplicht tot het uitdelen van een beloning.

Kwetsbaarheden waar Reshift een beloning overweegt zijn:

  • Cross-site scripting
  • SQL injectie
  • Encryptie-issues
  • Datalekken m.b.t. gebruikersgegevens

De beloning wordt bepaald door de uitgever in overleg met onze ontwikkelaars, en wordt uitgekeerd nadat het lek verholpen is. Iedere melding (ook die waar wij geen beloning overwegen) word gepubliceerd in onze ‘Hall of Fame’, behalve als de melder hier bezwaar tegen heeft.

Hall of Fame
LinkedIn
LinkedIn
LinkedIn