Bug- en beveiligingsbeleid
Het team van eventplanner.net is zeer toegewijd aan het beschermen van de gegevens van onze gebruikers. Als klein bedrijf richten we onze inspanningen op samenwerking met een select aantal beveiligingsonderzoekers en -tools. We zijn blij te kunnen rekenen op het vertrouwen en de steun van onze community. Daarom bieden we geen traditioneel 'bounty-programma' aan met financiële beloningen.
We verwelkomen beveiligingsonderzoekers die legitieme kwetsbaarheden met substantiële implicaties identificeren om hun bevindingen met ons te delen. We hebben ethische hackers hoog in het vaandel staan vanwege hun cruciale rol bij het handhaven van cyberbeveiliging, en hoewel we een klein bedrijf zijn met beperkte middelen, dragen we bij aan deze community. Als je aanpak daarentegen voornamelijk gebruik maakt van geautomatiseerde tools om kleine problemen op te sporen en vervolgens om uitbetaling te vragen, moeten we je informeren dat je mogelijk teleurgesteld zal worden.
De reikwijdte van dit beleid is beperkt tot de volgende domeinen: eventplanner.net, eventplanner.be, eventplanner.nl, eventplanner.es, eventplanner.de, eventplanner.ie, eventplanner.co.uk, eventplanner.lu en eventplanner.fr. Houd er rekening mee dat de codebase voor al deze domeinen hetzelfde is, dus je kunt je inspanningen het beste richten op het hoofddomein, eventplanner.net
Onder dit beleid verbinden we ons ertoe alle geaccepteerde bugs binnen een redelijke tijd op te lossen, bepaald door de ernst en complexiteit.
De officiële taal voor dit Beleid is Engels, dat dient als de belangrijkste en regerende versie. In het geval van een discrepantie tussen de Engelse versie van dit Beleid en deze vertaling, heeft de Engelse versie voorrang en autoriteit.
Regels voor deelname
Als je na het lezen van bovenstaande informatie nog steeds eventuele kwetsbaarheden aan ons wilt bekendmaken, erken je dat we geen 'bounty-programma' onderhouden en dat eventuele beloningen worden aangeboden op basis van onze criteria voor het verdelen van beloningen. Door je meldingen in te dienen, druk je jouw instemming en toewijding uit om je te houden aan de beleidsrichtlijnen en juridische voorwaarden die in dit beleid worden vermeld, en erken je dat je deze voorwaarden hebt gelezen en volledig begrijpt.
Beleidsregels
- Test alleen kwetsbaarheden met accounts die je persoonlijk bezit; compromitteer of richt je nooit op accounts van andere gebruikers. eventplanner.net biedt geen aanvullende toegang of accounts, ook geen testaccounts.
- Voer geen interactie uit met de inhoud van onze gebruikers, zoals het leuk vinden van berichten, het plaatsen van opmerkingen of het aanvragen van aanbiedingen. Bezoek onze speciale testpagina om met deze functies te experimenteren.
- Gebruik nooit een bevinding om gegevens in gevaar te brengen of te exfiltreren, of om naar andere systemen te pivoteren. Een proof of concept mag alleen worden gebruikt om een probleem aan te tonen.
- Als bij het ontdekkingsproces van een kwetsbaarheid toegang verkregen wordt tot gevoelige informatie, zoals persoonlijke gegevens of inloggegevens, mag deze informatie na de eerste ontdekking op geen enkele manier worden bewaard, overgedragen, geopend of verwerkt. Alle gevallen van gevoelige informatie moeten worden verwijderd.
- Onderzoekers mogen niet en zijn niet bevoegd om deel te nemen aan activiteiten die storend of schadelijk kunnen zijn voor eventplanner.net, haar merken of gebruikers. Dit omvat social engineering, phishing, fysieke beveiliging en denial of service-aanvallen tegen gebruikers en werknemers, of eventplanner.net
- Bij het zoeken naar kwetsbaarheden is het verboden om de integriteit, beschikbaarheid en vertrouwelijkheidsvoorwaarden van eventplanner.net applicaties en diensten in gevaar te brengen. Alle activiteiten die de toepassingen, infrastructuur, klanten of partners van het bedrijf kunnen beschadigen, zijn ten strengste verboden.
- Tijdens het testen van SQL-injectie zijn alle serveracties ten strengste verboden, behalve het ophalen van informatie over de huidige database, de versie ervan, de huidige gebruiker of hostnaam.
- Bij het testen van het laden en lezen van bestanden is het ten strengste verboden om serverbestanden, inclusief systeembestanden, te lezen, te veranderen, te wijzigen, te verwijderen of te vervangen.
- Het is onderzoekers niet toegestaan kwetsbaarheden openbaar te maken (het delen van welke gegevens dan ook met iemand anders dan geautoriseerde medewerkers van eventplanner.net) of kwetsbaarheden te delen met een derde partij zonder uitdrukkelijke schriftelijke toestemming van eventplanner.net. Blootstelling aan autoriteiten kan alleen na onderling overleg en met toestemming van eventplanner.net
- Zorg voor minimale overlast. Houd je altijd aan de beleidsregels. Gebruik geen geautomatiseerde scanners en tools; deze tools bevatten payloads die toestandsveranderingen kunnen veroorzaken of productiesystemen en gegevens kunnen beschadigen.
- Test niet verder dan nodig is om de kwetsbaarheid te ontdekken.
- Voordat je mogelijk schade veroorzaakt, moet je jouw activiteiten staken, je bevindingen melden en aanvullende toestemming vragen om te testen.
- Onder geen enkele omstandigheid zal frauduleuze opzet of een daad van opzet om schade toe te brengen worden opgenomen in de autorisatie van dit beleid.
Overtreding van een van deze regels kan leiden tot uitsluiting en gerechtelijke vervolging.
Met betrekking tot dit Beleid verbind je je ertoe je te houden aan de Gebruiksvoorwaarden en het Privacybeleid van eventplanner.net, samen met alle toepasselijke wet- en regelgeving, inclusief de wet- of regelgeving inzake privacy of rechtmatige gegevensverwerking.
eventplanner.net behoudt de bevoegdheid om de voorwaarden van dit beleid naar eigen goeddunken te herzien of aan te passen. Als je een inwoner bent van of een persoon bent die zich bevindt in een land dat op de Overzichtskaart van EU-scancties (zoals uitgegeven door de Europese Unie) staat, is deelname verboden.
eventplanner.net verleent noch impliciete noch expliciete toestemming aan enige persoon of groep personen om (1) persoonlijke informatie of inhoud van eventplanner.net-klanten of hun gebruikers te extraheren en te publiceren zonder toestemming van de gebruiker, of (2) programma's of gegevens te wijzigen of te beschadigen die toebehoren aan eventplanner.net, haar partners of leveranciers met als doel gegevens te extraheren en openbaar te maken.
De wet van 28 november 2022 (Belgische Wet), betreffende de bescherming van melders van inbreuken op het Europese Unie- of nationale recht vastgesteld binnen een juridische entiteit in de private sector, blijft onverminderd van kracht.
Werknemers van eventplanner.net (inclusief voormalige werknemers), freelancers, aannemers en hun personeel, consultants, naaste familieleden en personen die in hetzelfde huishouden wonen, komen niet in aanmerking voor premies of beloningen van welke aard dan ook.
Persoonlijke gegevens
De verwerking van persoonsgegevens is niet opgenomen in dit Beleid. Bij een specifieke actie of ontdekking van een kwetsbaarheid waardoor persoonsgegevens vrijkomen, dient direct contact te worden opgenomen met eventplanner.net om na te gaan of het beveiligingsonderzoek kan worden voortgezet. Verwerking van persoonsgegevens vindt altijd plaats na ondertekening van een DPA (Data Processing Agreement) waaronder onderstaande garanties dienen te worden gewaarborgd:
- persoonsgegevens alleen verwerken op basis van schriftelijke instructies van eventplanner.net;
- om schriftelijke bevestiging te krijgen, moeten alle personen die bevoegd zijn om persoonsgegevens te verwerken een NDA (non-disclosure agreement), een DPA (data processing agreement) ondertekenen en alle toepasselijke Europese wetgeving volgen, inclusief het in Europa houden van de gegevens;
- je dient passende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen;
- voorafgaande toestemming verkrijgen van eventplanner.net om een andere ethische hacker in dienst te nemen en deze te verplichten zich te houden aan de inhoud van dit Beleid;
- eventplanner.net door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstaan bij het nakomen van zijn verplichting om te reageren op verzoeken tot uitoefening van de rechten van de betrokkene;
- eventplanner.net bijstaan om te zorgen voor de naleving van de verplichtingen uitgezet in de artikelen 32 tot 36 van de GDPR (beveiliging, melding van inbreuken, impactanalyse, voorafgaande raadpleging), rekening houdend met de aard van de verwerking en de informatie waarover de ethische hacker beschikt;
- eventplanner.net onverwijld informeren zodra de ethisch hacker een lek in verband met persoonsgegevens constateert;
- na deelname aan de activiteiten beschreven in dit Beleid alle persoonsgegevens wissen of terugsturen naar eventplanner.net, en bestaande kopieën verwijderen;
- eventplanner.net voorzien van alle benodigde informatie om naleving van haar verplichtingen aan te tonen, waaronder een register van alle categorieën van verwerkingsactiviteiten die namens eventplanner.net zijn uitgevoerd;
- het gebruik van persoonsgegevens voor een ander doel dan het opsporen van kwetsbaarheden in het systeem of het communiceren van deze gegevens aan derden uitsluiten;
Geheimhoudingsovereenkomst
Voor we in gesprek gaan over geïdentificeerde kwetsbaarheden onder dit Beleid, inclusief onderwerpen als beloning, moet je eerst een geheimhoudingsverklaring met ons ondertekenen. Dit zal dienen als een eerste vereiste voordat we verder gaan.
Safe harbour
eventplanner.net belooft geen juridische stappen te ondernemen of een wetshandhavingsonderzoek te starten tegen een onderzoeker die een kwetsbaarheid meldt, zolang de onderzoeker zich strikt aan dit beleid houdt.
Het is belangrijk om te beseffen dat als je beveiligingsonderzoek betrekking heeft op de netwerken, systemen, gegevens, toepassingen, producten of diensten van een andere entiteit (anders dan wij), die entiteit de vrijheid heeft om te beslissen of zij juridische stappen wil ondernemen. We hebben niet de bevoegdheid om beveiligingsonderzoek namens andere organisaties te bestraffen. In het geval dat een derde een gerechtelijke procedure tegen je start en je je aan dit beleid hebt gehouden, zullen we redelijke maatregelen nemen om bekend te maken dat jouw activiteiten in overeenstemming waren met dit beleid.
Dit beleid kan op geen enkele manier een aanzetten tot hacken zijn door derden.
Zoals altijd dien je je te houden aan alle relevante wet- en regelgeving.
Stuur een melding naar security@eventplanner.net voordat je deelneemt aan een activiteit die kan worden gezien als strijdig met of niet wordt behandeld door dit beleid.
Testen
Het dagelijkse webverkeer tussen eventplanner.net, onze bijbehorende domeinen en onze hostingpartners genereert enorme datavolumes. Bij het uitvoeren van tests is het voor ons handig als je jouw testverkeer kunt onderscheiden van onze reguliere gegevens en mogelijk schadelijke externe entiteiten. Daarom verzoeken wij je vriendelijk om tijdens jouw test de volgende stappen in acht te nemen:
- Gebruik waar mogelijk het primaire e-mailadres dat je gebruikt voor communicatie met eventplanner.net om accounts te registreren.
- Vermeld je IP-adres in jouw bugrapport. We verzekeren je dat deze informatie vertrouwelijk zal worden behandeld en uitsluitend zal worden gebruikt om logboeken met betrekking tot jouw testactiviteit te bekijken.
- Neem een unieke HTTP-header op in al je verkeer. Proxy's zoals Burp maken eenvoudige en automatische toevoeging van headers aan alle uitgaande verzoeken mogelijk. Informeer ons over de header die je hebt ingesteld, zodat we deze gemakkelijk kunnen identificeren.
Een rapport indienen
Als ons beveiligingsteam een probleem niet kan reproduceren of valideren, kan er geen bounty worden toegekend. Om de efficiëntie van ons indieningsproces te verbeteren, vragen we dat de indiening het volgende bevat:
- Een gedetailleerde beschrijving van de kwetsbaarheid
- Een handleiding waarin de stappen worden beschreven die nodig zijn om de gemelde kwetsbaarheid te reproduceren
- Bewijs dat de exploiteerbaarheid aantoont (bijv. screenshot, video)
- Verwachte impact op een andere gebruiker of de organisatie
- Voorgestelde CVSSv3-vector en -score (exclusief omgevings- en temporele modifiers)
- Lijst met URL's en getroffen parameters
- Andere kwetsbare URL's, extra payloads, proof-of-concept-code
- Informatie over de browser, het besturingssysteem en/of de app-versie die tijdens het testen is gebruikt
Let op: niet-naleving van deze minimumvereisten kan resulteren in het verbeurd verklaren van een beloning.
Alle ondersteunend bewijsmateriaal en andere bijlagen mogen uitsluitend worden opgeslagen in het rapport dat je indient. Host geen bestanden op externe diensten. Gelieve alle veiligheidsrapporten per e-mail, met bijlagen, te sturen naar security@eventplanner.net
Beloningen
Zoals gezegd, hebben we geen traditioneel 'bounty-programma' met geldelijke beloningen. Desalniettemin hebben we diep respect voor ethische hackers en het onschatbare werk dat ze verrichten, dus proberen we hun inspanningen te compenseren, ondanks onze positie als kleine onderneming met beperkte middelen. Dit houdt in dat we geen vaste beloning kunnen garanderen, maar we streven ernaar om binnen de onderstaande bereiken te belonen.
We categoriseren bugs op basis van hun ernst, die subjectief wordt bepaald door eventplanner.net. Als beloningen gepast worden geacht, is de beslissing uitsluitend ter beoordeling van eventplanner.net, en dergelijke beloningen, indien van toepassing, zullen binnen een periode van 30 dagen worden verwerkt. We bieden doorgaans geen beloningen voor kwetsbaarheden die buitengewoon ingewikkelde interacties vereisen of waarvan de impact of het beveiligingsrisico als minimaal wordt beschouwd. Als er enig bewijs is van beleidsovertredingen, kunnen beloningen worden ingehouden.
Ernst > Mogelijke beloning, niet gegarandeerd:
- Kritisch > € 500
- Hoog > € 150-350
- Medium > € 50
- Laag > € 0, maar een dikke merci
- Informatief > € 0
Buiten scope
Bepaalde kwetsbaarheden worden als out-of-scope beschouwd. Deze out-of-scope kwetsbaarheden omvatten, maar zijn niet beperkt tot:
- Spam
- Scanneruitvoer of door scanner gegenereerde rapporten
- Beveiligingsproblemen in applicaties van derden, bibliotheken en websites van derden geïntegreerd met eventplanner.net
- Problemen waarvan we al op de hoogte zijn of die eerder zijn gemeld
- Problemen die onwaarschijnlijke gebruikersinteractie vereisen
- Problemen gevonden door middel van geautomatiseerd testen
- Problemen met netwerkprotocollen
- Onthulling van softwareversie
- Verbose foutpagina's (zonder bewijs van misbruik)
- Onvolledige/ontbrekende SPF/DKIM/DMARC
- Clickjacking/UI redressing
- Gebruik van bibliotheek met bekende kwetsbaarheden (zonder bewijs van misbruik)
- Fysieke aanvallen
- Opzettelijke open redirects
- Reflected file download
- Autocomplete attribuut op webformulieren
- Openbaarmaking van informatie die geen significant risico inhoudt
- Kwetsbaarheden die social engineering/phishing vereisen
- DDoS-aanvallen (distributed denial of service).
- Cross-site verzoekvervalsing met minimale impact op de beveiliging
- CSV-injectie
- Algemene best practice bedenkingen (inclusief SSL/TLS)
- Man-in-the-middle-aanvallen
- Host header-injecties zonder een specifieke, aantoonbare impact
- Self-XSS, inclusief alle door het slachtoffer ingevoerde payload
- Inloggen/uitloggen CSRF
- CSRF en XSS zonder gevoelige gegevens te beïnvloeden
- Bypass-controle op root en jailbreak
- Berichten over de nadelen van het gebruik van sms-codes
- Onbeperkt versturen van SMS en e-mail
- Problemen met e-mails, sms of andere berichten
- Informatie over IP-adressen, DNS-records en open poorten
- Tabnabben
- Onthullen van het volledige pad
- Problemen met cachebeheer
- Hypothetische problemen die geen praktische impact hebben
- Ontbrekende cookievlaggen
- Broken link hijacking
- UX/UI-bugs en spelfouten
- Openbaar gemaakte bugs in internetsoftware binnen 30 dagen na bekendmaking
- Gerelateerde problemen zoals 'Dezelfde bug, andere host/domein' of 'Dezelfde payload, andere parameter'
- Beleid, headers of andere instellingen
Vragen
Neem voor vragen over ons beleid contact op met security@eventplanner.net. Wij stellen je medewerking zeer op prijs.