Maandelijkse vulnerability scanning: Eerste maand kosteloos! Meer informatie →
Hero

WIJ ZIJN

HACKIFY

Responsible Disclosure

Wij nemen de beveiliging van onze eigen systemen serieus. Toch kan het ondanks alle zorg gebeuren dat er ergens een zwakke plek zit. Ontdekt u zo’n kwetsbaarheid in een van onze systemen, dan stellen wij het op prijs als u ons dat laat weten voordat anderen er misbruik van maken. Dat heet responsible disclosure of coordinated vulnerability disclosure.

Omdat ons werk draait om het vinden van kwetsbaarheden, weten wij als geen ander hoe waardevol een goede melding is.

Waarvoor geldt dit beleid?

Dit beleid is van toepassing op de systemen die Hackify zelf beheert:

  • hackify.nl en de bijbehorende subdomeinen;
  • pentests.nl en phishify.nl;
  • de overige websites en applicaties die door Hackify worden beheerd;
  • de infrastructuur en netwerken van Hackify.

Buiten scope vallen:

  • diensten van derden die wij gebruiken maar niet zelf hosten (bijvoorbeeld onze samenwerkings-, mail- en CRM-leveranciers; meld vondsten daar rechtstreeks bij de betreffende leverancier);
  • social engineering gericht op onze medewerkers;
  • fysieke beveiliging van onze locaties;
  • aanvallen op de beschikbaarheid van systemen, zoals denial-of-service.

Twijfelt u of iets binnen de scope valt, neem dan eerst contact met ons op via security@hackify.nl voordat u verder gaat.

Wat vragen wij van u?

Om een melding verantwoord te houden, vragen wij u zich aan deze uitgangspunten te houden:

  • meld de kwetsbaarheid zo snel mogelijk nadat u die heeft ontdekt;
  • geef genoeg informatie om het probleem te kunnen reproduceren (betrokken systeem, stappen, eventueel proof-of-concept);
  • doe niet meer dan nodig om de kwetsbaarheid aan te tonen, en stop zodra u het bewijs heeft;
  • bekijk geen gegevens van anderen en wijzig of verwijder geen gegevens;
  • heeft u tijdens uw onderzoek toch gegevens ingezien of gedownload, verwijder die dan direct nadat u uw bevinding heeft kunnen aantonen, en meld dat in uw rapport;
  • gebruik geen geautomatiseerde scanners zonder dat u dat vooraf met ons heeft afgestemd, en voer geen brute-force- of denial-of-service-aanvallen uit;
  • deel de kwetsbaarheid niet met anderen en maak deze niet openbaar zolang die nog niet is opgelost.

Houdt u zich aan deze uitgangspunten, dan beschouwen wij uw handelen als te goeder trouw.

Wat mag u van ons verwachten?

Meldt u een kwetsbaarheid volgens dit beleid, dan zeggen wij u het volgende toe:

  • u ontvangt binnen drie werkdagen een bevestiging dat wij uw melding hebben ontvangen;
  • u ontvangt minimaal elke twee weken een statusupdate totdat de kwetsbaarheid is opgelost of we anders met u afspreken;
  • wij behandelen uw melding en uw gegevens vertrouwelijk en delen uw gegevens niet zonder uw toestemming met derden;
  • wij houden u op de hoogte van het moment waarop de kwetsbaarheid is verholpen;
  • met uw toestemming vermelden wij uw naam of pseudoniem als dank voor uw bijdrage, nadat de kwetsbaarheid is opgelost;
  • wij ondernemen geen juridische stappen tegen u en doen geen aangifte, zolang u zich aan dit beleid heeft gehouden.

Wij streven naar oplossing en publieke disclosure binnen een redelijke termijn die in onderling overleg wordt bepaald, gebaseerd op ernst en complexiteit. Als algemene richtlijn hanteren wij een doelstelling van 90 dagen voor publieke disclosure (industry-standaard), korter bij hoge urgentie of langer indien een fix verifieerbaar meer tijd vereist.

Hoe meldt u een kwetsbaarheid?

Stuur uw melding per e-mail naar security@hackify.nl. Onze contactgegevens staan ook in onze security.txt op onze domeinen (RFC 9116).

Een bruikbare melding bevat in elk geval:

  • een beschrijving van de kwetsbaarheid en het type (bijvoorbeeld cross-site scripting, SQL-injectie, IDOR, RCE);
  • het systeem, de URL of het endpoint waar het om gaat;
  • duidelijke stappen waarmee wij het probleem kunnen reproduceren, eventueel met voorbeelden of schermafbeeldingen;
  • een korte inschatting van de impact, oftewel wat een aanvaller ermee zou kunnen doen;
  • uw contactgegevens zodat wij met u kunnen overleggen, en of u in een eventuele vermelding genoemd wilt worden.

Wij vragen u geen gevoelige gegevens van anderen mee te sturen. Een beschrijving van de kwetsbaarheid is voldoende.

Bemiddeling

Komen wij er samen niet uit, of wilt u liever via een onafhankelijke derde melden, dan kunt u contact opnemen met de DIVD (Dutch Institute for Vulnerability Disclosure, https://divd.nl) of een vergelijkbare coördinerende organisatie. Wij werken graag mee aan een gecoördineerde melding.

Een opmerking over beloningen

Hackify heeft geen formeel bug bounty programma. Wij doen dit werk omdat wij de beveiliging van onze systemen belangrijk vinden, niet om een vergoeding uit te keren. Voor een waardevolle melding bedanken wij u graag met een vermelding (security.txt acknowledgements of een aparte hall-of-fame-pagina). Per geval bekijken wij of een attentie op zijn plaats is. Een melding geeft geen recht op een beloning.

Vragen

Heeft u een vraag over dit beleid, of wilt u overleggen voordat u onderzoek doet? Neem dan vrijblijvend contact met ons op via security@hackify.nl.

Voor klachten over onze dienstverlening verwijzen wij u naar ons klachtenbeleid. Voor hoe wij omgaan met persoonsgegevens, zie ons privacybeleid.