CVD

Bij Kooi vinden we de veiligheid van onze systemen erg belangrijk. Ondanks dat we ons best doen om zwakke plekken in het systeem te vinden kun je deze ook bij ons melden. 

Samenwerken

We stellen het zeer op prijs als je eventuele kwetsbaarheden in onze systemen ontdekt en meldt. Jouw feedback stelt ons in staat om snel actie te ondernemen en de beveiliging voor onze gebruikers en systemen te verbeteren. Jouw samenwerking hierin is voor ons van grote waarde.

Geen uitnodiging tot actief scannen

Ons beleid voor responsible disclosure is niet bedoeld als een uitnodiging om ons netwerk of systemen intensief te scannen op kwetsbaarheden. We voeren zelf actieve monitoring uit op ons bedrijfsnetwerk. Daarom is er een aanzienlijke kans dat jouw scan wordt gedetecteerd, wat kan leiden tot onderzoek door ons Computer Emergency Response Team (CERT) en mogelijk onnodige kosten veroorzaakt.

Strafrechtelijke vervolging

Tijdens je onderzoek kun je activiteiten ondernemen die juridisch gezien als strafbaar worden beschouwd. Als je je echter aan de gestelde voorwaarden houdt, zullen wij geen juridische actie tegen je ondernemen. Het is belangrijk om te onthouden dat het Openbaar Ministerie altijd het recht behoudt om zelf te beslissen of ze tot strafrechtelijke vervolging overgaan.

Ons verzoek aan jou:

  1. Mail je bevindingen zo snel mogelijk naar cvd@247kooi.com. 
  2. Misbruik de gevonden zwakheid niet door bijvoorbeeld:
    1. meer data te downloaden dan nodig is om het lek aan te tonen.
    2. de gegevens te veranderen of verwijderen.
  3. Wees extra voorzichtig met persoonlijke gegevens.
  4. Deel de zwakheid niet met anderen tot deze is opgelost.
  5. Maak geen gebruik van aanvallen op fysieke beveiliging of applicaties van derden, van social engineering, (distributed) denial-of-service, malware, of spam.
  6. Geef voldoende informatie om de zwakheid te reproduceren, zodat wij deze zo snel mogelijk kunnen oplossen. Meestal zijn het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid en de uitgevoerde handelingen voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Onze beloftes

  1. Een reactie binnen 5 werkdagen met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  2. We garanderen de vertrouwelijke behandeling van je melding. Jouw persoonlijke gegevens delen we niet met derden zonder jouw toestemming, tenzij we wettelijk verplicht zijn dit te doen.
  3. We zorgen dat je op de hoogte blijft van de voortgang bij het aanpakken van de zwakheid.
  4. Je hebt de optie om anoniem of onder een pseudoniem te melden. Houd er rekening mee dat we in dat geval geen contact met je kunnen opnemen over zaken zoals vervolgstappen, de voortgang van de reparatie, publicatie of een mogelijke beloning.
  5. Indien gewenst, kunnen we je naam als ontdekker van de kwetsbaarheid vermelden in onze communicatie over deze kwestie.
  6. Wat betreft een beloning voor je melding: dit is niet gegarandeerd. We bepalen per geval of en wat voor beloning we toekennen, gebaseerd op de zorgvuldigheid van je onderzoek, de kwaliteit van de melding en de ernst van de kwetsbaarheid.
  7. Ons doel is om alle problemen zo snel mogelijk op te lossen en alle relevante partijen geïnformeerd te houden. We werken graag met je samen bij een eventuele publicatie over de zwakheid, na dat deze is verholpen.

Niet in scope

247 Kooi geeft geen beloning voor triviale kwetsbaarheden of bugs die niet misbruikt kunnen worden. Hieronder staan voorbeelden van bekende kwetsbaarheden en geaccepteerde risico’s, die buiten bovenstaande regeling vallen:

  1. HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s en content spoofing/text injecting op deze pagina's
  2. fingerprinting/versievermelding op publieke services
    publieke bestanden of directories met ongevoelige informatie (bijvoorbeeld robots.txt)
  3. clickjacking en problemen die alleen te exploiten zijn via clickjacking
  4. geen secure/HTTP-only flags op ongevoelige cookies
  5. OPTIONS HTTP method ingeschakeld
  6. issue met SSL-configuratie issues
      1. SSL Forward secrecy uitgeschakeld
      2. zwakke/onveilige cipher suites
  7. issues met SPF, DKIM of DMARC
  8. host header injection
  9. rapporteren van verouderde versies van enige software zonder een proof of concept van een werkende exploit
  10. informatieblootstelling in metadata
  11. alles gerelateerd tot HTTP security headers, bijvoorbeeld:
      1. Strict-Transport-Security
      2. X-Frame-Options
      3. X-XSS-Protection
      4. X-Content-Type-Options
      5. Content-Security-Policy
      6. issues met SSL-configuratie

Hall of Fame

We willen iedereen die een kwetsbaarheid heeft gemeld graag bedanken door deze persoon op te nemen in de Hall of Fame.

Er zijn momenteel nog geen personen die een kwetsbaarheid hebben gemeld.

Zwakke plek gevonden?