Responsible Disclosure

Natuurlijk is de beveiliging van onze systemen een top prioriteit bij UNICORN Security. Maar als geen ander weten we ook dat er altijd een mogelijkheid is dat er op enig moment kwetsbaarheden aanwezig zijn. Als je een dergelijke kwetsbaarheid ontdekt dan willen we dat natuurlijk weten, zodat we het kunnen oplossen. We vragen je dus om ons te helpen onze klanten en onze systemen veilig te houden.

Je kunt de volgende URL gebruiken om de bevindingen aan ons door te geven. Hierbij gelden de volgende regels:

Wat te doen:

• Rapporteer de kwetsbaarheid zo snel mogelijk, om het risico dat kwaadwillenden dit probleem misbruiken te minimaliseren.
• Rapporteer op een manier die de vertrouwelijkheid van de informatie waarborgd, zodat anderen geen toegang krijgen tot deze informatie.
• Neem voldoende informatie op in het rapport om het probleem te kunnen reproduceren. In veel gevallen is het IP-adres of de URL van het kwetsbare systeem en een gedetailleerde beschrijving van de kwetsbaarheid voldoende, maar complexe kwetsbaarheden hebben mogelijk een aanvullende verklaring nodig.

Wat niet te doen:

• Openbaar de kwetsbaarheid of het probleem niet aan anderen totdat we het hebben opgelost.
• Bouw geen eigen ‘backdoor’ in een informatiesysteem met de intentie om de kwetsbaarheid te demonstreren. Dit kan namelijk tot additionele schade leiden en zorgt voor onnodige beveiligingsrisico’s.
• Misbruik de kwetsbaarheid niet meer dan noodzakelijk is om aan te tonen dat deze werkelijk misbruikt kan worden.
• Laat alle gegevens op het systeem zo veel mogelijk met rust. Ga deze gegevens dus niet kopieeren, modificeren of verwijderen. Een alternatieve manier om bewijs aan te leveren is het overleggen van een directory listing van het systeem.
• Breng geen wijzigingen aan op het systeem.
• Benader het systeem niet meer zodra je voldoende bewijs hebt verzameld. Deel de toegang tot het systeem of de gegevens niet met anderen.
• Gebruik geen ‘brute force’ aanvallen, aanvallen op de fysieke beveiliging, ‘distributed denial of service’. ‘social engineering’, spam, of applicaties van derden om toegang tot het systeem of de daarop aanwezige informatie te verkrijgen.

Wat we beloven:

• We sturen je een antwoord op je rapport binnen vijf werkdagen. Hierin nemen we onze evaluatie, en een datum op waarop we verwachten het probleem opgelost te hebben.
• Als je de instructies hierboven volledig hebt gevolgd dan zullen we geen juridische stappen tegen je nemen met betrekking tot hetgeen is opgenomen in het rapport.
• We zullen je persoonlijke gegevens niet doorgeven aan derde partijen zonder jouw goedkeuring, tenzij dit wettelijk noodzakelijk is. Het rapporteren onder een pseudoniem of annoniem is mogelijk.
• We houden je op de hoogte van onze voortgang om het probleem op te lossen.
• In de publiek beschikbare informatie met betrekking tot het gemelde probleem nemen we je naam (of pseudoniem) op als de ontdekker van het probleem, tenzij je duidelijk maakt daar geen prijs op te stellen.
• We streven erna om alle problemen zo snel mogelijk op te lossen, en we willen een actieve rol spelen in de uiteindelijke publikatie over het probleem nadat we het hebben opgelost.

Deze policy is gebaseerd op een voorbeeld geschreven door Floor Terra en de Coordinated Disclosure Guideline van het NCSC.