RDP

Responsible Disclosure Policy

Bij E.H.B.A.I. vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.

Als u een zwakke plek in één van onze systemen heeft gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze klanten en onze systemen beter te kunnen beschermen.

Wij vragen

Bij uw onderzoek van de gevonden kwetsbaarheid mag u geen systemen of diensten beschadigen. Verder mag de dienstverlening nooit opzettelijk onderbroken worden door uw onderzoek.

Mogelijk doet u bij uw onderzoek iets wat volgens wet- en regelgeving niet mag. Wij doen geen aangifte als u te goeder trouw en zorgvuldig handelt op de manier dat wij van u vragen.

Als je een beveiligingskwetsbaarheid ontdekt, volg dan de onderstaande stappen om deze op een verantwoorde manier aan ons te melden:

  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen,
  • Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te wissen,
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden, en
  • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wij beloven

Na de melding onderzoeken wij de validiteit hiervan. Onderstaand is het proces wat een melding die bij ons binnenkomt, doorloopt:

  • Wij reageren binnen 3 dagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing,
  • Als u zich aan bovenstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding,
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk,
  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem,
    In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker, en
  • Als dank voor uw hulp bieden wij een beloning aan voor elke melding van een ons nog onbekend beveiligingsprobleem. De grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding en kan variëren van swag tot aan een waardebon. Deze beloningen zijn geheel vrijwillig en E.H.B.A.I. behoudt zich het recht geen beloning uit te keren voor een melding.

Out of scope

Een aantal bevindingen zijn, door hun zeer beperkte impact, out of scope voor dit Responsible Disclosure beleid. Hier zal dan ook niet op gereageerd worden. Dit zijn onder anderen, maar niet beperkt tot:

  • HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s en content spoofing/text injecting op deze pagina’s
  • fingerprinting/versievermelding op publieke services
  • ontbrekende best practices of output van geautomatiseerde scanhulpmiddelen zonder bewijs van exploiteerbaarheid;
  • output geautomatiseerde scans van hulpprogramma’s. Voorbeelden: Web-, SSL / TLS-scan, Nmap-scanresultaten, enz.
  • publieke bestanden of directories met ongevoelige informatie (bijvoorbeeld robots.txt)
  • clickjacking en problemen die alleen te exploiten zijn via clickjacking
  • geen secure/HTTP-only flags op ongevoelige cookies
    – OPTIONS HTTP method ingeschakeld
    – alles gerelateerd tot HTTP security headers, bijvoorbeeld:
    – Strict-Transport-Security
    – X-Frame-Options
    – X-XSS-Protection
    – X-Content-Type-Options
    – Content-Security-Policy
  • issues met SSL-configuratie
    – SSL Forward secrecy uitgeschakeld
    – zwakke/onveilige cipher suites
  • issues met SPF, DKIM of DMARC
  • host header injection
  • rapportages van verouderde versies van enige software zonder een proof of concept van een werkende exploit
  • informatieblootstelling in metadata 
  • WordPress specifieke kwetsbaarheden die niet in scope zijn voor deze Responsible Disclosure Policy:
    – wp-login.php bereikbaar (is bekend, alle gebruikers hebben verplichte MFA)
    – pingback.ping toegankelijk (kan enkel nog gebruikt worden voor externe bronnen)
    – xmlrpc.php toegankelijk (is by design)
    – toegang tot wp-cron.php

Scope

Binnen de scope van dit Responsible Disclosure beleid zijn alle domeinen en informatiebronnen welke in het beheer zijn van EHBAI in scope. Dit betreffen op dit moment de volgende domeinen:

echtehulbijai.nl
echtehulpbijai.online
eerstehulpbijai.nl
eerstehulpbijai.online
ehbai.nl
ehbai.online
ehbai.eu
ehbai.be
ehbai.de
hulpmetai.online
hulpmetai.nl

Ook informatielekken uit publieke bronnen, welke duidelijk te linken zijn aan EHBAI, zijn in scope voor dit beleid.

Scroll to Top