Responsible Disclosure

Als u een mogelijk beveiligingsprobleem in onze systemen hebt ontdekt, vragen we u dit veilig en discreet te melden. Op deze manier helpt u ons onze gebruikers te beschermen, onze diensten te verbeteren en het vertrouwen op ons platform te behouden.

Neem even de tijd om de volgende richtlijnen door te nemen voordat u uw bevindingen indient:

Hoe rapporteer je

• Mail je bevindingen naar responsibledisclosure@aqqo.com
• Versleutel uw rapport met behulp van onze PGP-sleutel om ervoor te zorgen dat de informatie niet in verkeerde handen valt
• Gebruik een duidelijke onderwerpregel, bijvoorbeeld: 'Kwetsbaarheidsrapport - [System/URL] '

Toepassingsgebied‍

Dit beleid is van toepassing op systemen en diensten die eigendom zijn van, beheerd worden of beheerd worden door Aqqo.

Binnen het toepassingsgebied (voorbeelden):

• Webtoepassingen en API's die worden gehost onder: [lijst van primaire domeinen, bijvoorbeeld aqqo.com, app.aqqo.com, api.aqqo.com]
• AQQO-gecontroleerde infrastructuur die deze diensten ondersteunt
• Officiële mobiele Aqqo-apps (indien van toepassing): [namen van iOS/Android-apps of links naar winkels]

Buiten het bereik (voorbeelden): 

• Diensten van derden die niet worden beheerd door Aqqo (bijv. externe leveranciers), tenzij het probleem aantoonbaar wordt veroorzaakt door de configuratie van Aqqo
• Problemen in systemen waarvoor u geen toestemming hebt om te testen
• Fysieke aanvallen op kantoren, werknemers of faciliteiten

Als u niet zeker weet of een doel binnen het bereik valt, neem dan eerst contact met ons op via responsibledisclosure@aqqo.com.

Regels voor betrokkenheid 

Wanneer u een kwetsbaarheid onderzoekt en rapporteert, dient u het volgende te doen:

• Gebruik de kwetsbaarheid niet verder dan nodig is om de impact aan te tonen. Download bijvoorbeeld niet meer gegevens dan nodig is en open, verwijder of wijzig gegevens van derden niet.
• Respecteer privacy en vertrouwelijkheid. Deel geen gegevens met anderen totdat het probleem is opgelost en verwijder alle vertrouwelijke gegevens die via het beveiligingslek zijn verkregen zodra deze niet langer nodig zijn voor validatie.
• Voorkom verstoring. Gebruik geen fysieke beveiligingsaanvallen, social engineering, distributed denial of service (DDoS), spam of andere tests die de beschikbaarheid of prestaties schaden.
• Handel te goeder trouw en blijf binnen het bereik. Vermijd herhaaldelijk automatisch scannen, grote hoeveelheden aanvragen of acties die gevolgen kunnen hebben voor andere gebruikers.

Wat u in uw rapport moet opnemen 

Om ons te helpen het probleem snel uit te zoeken en op te lossen, kunt u het volgende verstrekken:

• Het betreffende IP-adres/domein/URL
• Een duidelijke beschrijving van de kwetsbaarheid en de realistische impact ervan
• Stappen om te reproduceren (inclusief voorbeelden van verzoeken/antwoorden waar nuttig)
• Alle proof-of-concept, schermafbeeldingen of logboeken (waar mogelijk opgeschoond)
• Of u van mening bent dat persoonlijke gegevens kunnen worden blootgesteld of misbruikt
• Uw favoriete contactgegevens en of u een openbare lening wilt als het probleem bekend wordt gemaakt

Omvang en ernst 

We geven prioriteit aan kwetsbaarheden die een duidelijke, realistische impact hebben op de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens of accounts. Voorbeelden hiervan zijn authenticatie of omzeiling van autorisaties, injectieproblemen en directe blootstelling aan gegevens.

We kunnen naar eigen goeddunken beloningen aanbieden voor geldige meldingen van voorheen onbekende kwetsbaarheden met voldoende ernst en impact.

De volgende categorieën komen over het algemeen niet in aanmerking voor beloningen (hoewel we ze nog steeds kunnen beschouwen als verharding of als verbeteringen in de beste praktijken):

• Aanbevelingen op het gebied van beste praktijken of uitgebreide verdediging zonder een aangetoond aanvalsscenario (bijvoorbeeld aanvullende beveiligingsmeldingen, ontbrekende of niet-optimale beveiligingsheaders zonder misbruik).
• Self-XSS of problemen waarbij het slachtoffer zijn eigen browser/DevTools moet aanpassen of willekeurige code moet uitvoeren in zijn eigen console.
• Problemen waarbij wordt verondersteld dat het apparaat, de browser of het e-mailaccount van de gebruiker al gehackt is.

Beloningen 

Als blijk van dank kunnen we discretionaire beloningen aanbieden voor geldige meldingen van een tot nu toe onbekend beveiligingsprobleem. De beloningen worden bepaald op basis van de ernst, de impact en de kwaliteit van het rapport, te beginnen met een voucher ter waarde van €25.

Beloningen worden over het algemeen niet aangeboden voor:

• Dubbele meldingen van eerder bekende problemen (of ze nu eerder extern zijn gemeld of intern zijn geïdentificeerd)
• Kwesties die buiten het bereik vallen
• Bevindingen met weinig impact zonder een aangetoond aanvalsscenario (zie 'Omvang en ernst')

Het is mogelijk dat we niet altijd details van onze interne beoordelingen of voorkennis over specifieke kwesties kunnen delen.

Wanneer u een rapport indient:

• We streven ernaar om uw melding binnen 3 werkdagen te bevestigen en, waar mogelijk, een eerste beoordeling te geven. Voor kritieke problemen streven we ernaar sneller te reageren.
• Voor problemen met een hogere ernst zullen we ons best doen om u op de hoogte te houden van belangrijke mijlpalen (bijvoorbeeld wanneer een oplossing wordt geïmplementeerd).
• Als u binnen dit beleid te goeder trouw hebt gehandeld en zonder opzettelijk gebruikers of systemen schade toe te brengen, zullen we geen juridische stappen tegen u ondernemen voor uw beveiligingsonderzoek en -rapportage.
• We behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet zonder uw toestemming, tenzij dit wettelijk verplicht is. Rapporteren onder een pseudoniem is acceptabel.
• We streven ernaar om alle problemen zo snel mogelijk aan te pakken.

Gecoördineerde openbaar 

We ondersteunen gecoördineerde openbaarmaking van kwetsbaarheden. Als u van plan bent om details te publiceren, neem dan eerst contact met ons op.

• We vragen u de kwetsbaarheid niet openbaar te maken totdat we deze hebben opgelost of overeenstemming hebben bereikt over een tijdschema voor openbaarmaking.
• Voor zeer ernstige kwesties waarbij openbaarmaking noodzakelijk is, is onze gemiddelde termijn voor openbaarmaking ongeveer 90 dagen, maar dit kan variëren afhankelijk van de ernst, de complexiteit en het gebruikersrisico. Waar relevant zullen we de verwachte tijdlijnen tijdens de triage communiceren.
• Problemen met een lage ernst kunnen worden behandeld als gewone bugs zonder enige openbaarmaking.
• We stellen het op prijs dat we van tevoren in elke publicatie worden opgenomen om ervoor te zorgen dat gebruikers beschermd blijven.

Neem contact met ons op via responsibledisclosure@aqqo.com als u vragen hebt over dit beleid.