Kwetsbaarheid melden

Heeft u een kwetsbaarheid in onze systemen ontdekt? Dan horen we graag van u. Met uw hulp kunnen we onze diensten en hun veiligheid verbeteren.

U kunt problemen met betrekking tot onze online diensten melden. Bijvoorbeeld (maar niet beperkt tot):

Cross-site scripting

SQL-injectie

Cross-site verzoek vervalsing (CSRF)

Zwakke punten in de verificatie

 

Onze regelset

Rapporteert u een kwetsbaarheid aan ons? En is dit verslag relevant? In dat geval belonen we je altijd met een klein cadeautje of Swag. U heeft immers tijd en moeite geïnvesteerd in uw onderzoek. Is uw rapport belangrijk? Dan komt u mogelijk in aanmerking voor een vergoeding. We hebben een regelset:

  • Handel integer en berokken geen schade tijdens uw onderzoek.
  • Verstoor onze diensten niet als u een kwetsbaarheid onderzoekt.
  • Maak nooit klant- of onze persoonlijke informatie bekend.
  • Iedereen kan een kwetsbaarheid melden. Ook als u geen klant bent van Trad3s.
  • Deel het beveiligingslek niet met anderen totdat het is opgelost. Praat met onze experts en geef ons de tijd om het probleem op te lossen.
  • Wij behandelen meldingen alleen in het Engels of Nederlands.
  • Gebruik geen aanvallen op fysieke beveiliging, social engineering of hacktools zoals kwetsbaarheidsscanners.
  • Plaats geen achterdeur in een ( informatie ) systeem ( om het beveiligingslek aan te tonen. )
  • Maak minimaal gebruik van een zwakte. Doe alleen wat nodig is om de kwetsbaarheid te bepalen.
  • Wijzig of verwijder geen gegevens uit het systeem(en).
  • Wees voorzichtig met het kopiëren van gegevens.
  • Breng geen systeemwijzigingen aan.
  • Probeer niet herhaaldelijk wachtwoord raden om toegang te krijgen tot systemen door brute force-aanvallen, woordenboekaanvallen en dergelijke.

 

Uitsluitingen

Als het gaat om een kwetsbaarheid met een laag of geaccepteerd risico, kan Trad3s besluiten om een rapport niet te belonen. Hieronder staan enkele voorbeelden van dergelijke kwetsbaarheden:

  • HTTP 404-codes of andere niet-HTTP 200-codes
  • Platte tekst toevoegen in 404 pagina’s
  • Banners vrijgeven op openbare diensten
  • Openbaar toegankelijke bestanden en mappen met niet-gevoelige informatie
  • Clickjacking op pagina’s zonder inlogfunctie
  • Cross-site request forgery (CSRF) op formulieren die anoniem toegankelijk zijn
  • Gebrek aan ‘secure’ / ‘HTTP Only’ vlaggen op niet-gevoelige cookies
  • De HTTP OPTIONS-methode gebruiken
  • Host header injectie
  • Afwezigheid van SPF-, DKIM- en DMARC-records
  • Gebrek aan DNSSEC
  • Een of meer van de volgende HTTP-beveiligingsheaders ontbreken:
  • Strikte transportbeveiliging (HSTS)
  • HTTP-openbare sleutelpinning (HPKP)
  • Content-Security-Beleid (CSP)
  • X-Content-Type-Opties
  • X-Frame-opties
  • X- WebKit -CSP
  • X-XSS- Bescherming

 

Wat er gebeurt nadat u een rapport hebt indienen

Onze beveiligingsexperts zullen uw rapport onderzoeken. U ontvangt binnen twee werkdagen een eerste reactie. U kunt zich melden bij security@trad3s.com. Misschien doet u iets in uw onderzoek dat bij wet verboden is. Als u dit te goeder trouw, zorgvuldig en volgens de hierboven genoemde regels doet, zijn we van plan geen aanklacht in te dienen. We willen echter wel elke situatie afzonderlijk kunnen afwegen. Wij beschouwen onszelf moreel verplicht om een aanklacht in te dienen als we vermoeden dat de kwetsbaarheid of gegevens worden misbruikt, of dat u kennis over de kwetsbaarheid met anderen hebt gedeeld.

 

Belonen

We geven je altijd een kleine attentie of Swag voor de moeite die je hebt gedaan als wat je hebt gevonden niet op de uitsluitingslijst staat. Als we kwetsbaarheden verhelpen of onze diensten aanpassen dankzij uw melding, geven we u hiervoor een passende vergoeding. Trad3s bepaalt of u hiervoor in aanmerking komt en wat de hoogte van de vergoeding is. Melden anderen dezelfde kwetsbaarheid? Dan is de vergoeding voor de eerste verslaggever.

 

Privacy

Als u een melding heeft gedaan, vragen wij om uw contactgegevens (naam, e-mailadres, PGP-sleutel en telefoonnummer). Wij geven uw gegevens niet aan anderen en gebruiken deze niet voor andere doeleinden. Tenzij wij daartoe wettelijk verplicht zijn, bijvoorbeeld in het geval van een vordering van de gerechtelijke autoriteiten.

Scope

Binnen de scope

  • www.trad3s.com
  • my.trad3s.com
  • beta.trad3s.com
  • api-beta.trad3s.com

Buiten de scope

  • mailing.trad3s.com
  • dashboard.trad3s.com

AWS

Onze services draaien op Amazon Web Services. Amazon heeft zijn eigen regels met betrekking tot het pentesten van services op hun platform. Wij verzoeken u vriendelijk om kennis te nemen van deze regels en deze na te leven tijdens het uitvoeren van uw onderzoek.

 

URL: https://aws.amazon.com/security/penetration-testing/