Coordinated Vulnerability Disclosure

De beveiliging van onze applicatie en gebruikersgegevens zijn van het grootste belang voor ons. Om de best mogelijke beveiliging van onze service te garanderen, verwelkomen we het op verantwoorde wijze melden van eventuele kwetsbaarheden die je in VobeSoft vindt. We werken graag samen met beveiligingsonderzoekers om mogelijke kwetsbaarheden die aan ons worden gemeld te verifiëren en te verhelpen.

VobeSoft raadt beveiligingsonderzoekers aan om de details van vermoedelijke kwetsbaarheden te delen via het onderstaande formulier.

Scope

We zijn geïnteresseerd in kwetsbaarheden met het VobeSoft-platform en klantgegevens.

Uitsluitingen

• Domeinen die niet in het doelveld zijn vermeld
• Fysieke aanvallen tegen VobeSoft-medewerkers en/of kantoren
• Phishing of social engineering van werknemers, klanten, aannemers, leveranciers of dienstverleners van VobeSoft
• Het bewust posten, verzenden, uploaden, linken naar of verzenden van malware naar of van bezittingen of systemen die eigendom zijn van VobeSoft
• Het najagen van kwetsbaarheden die zijn ontdekt op bezittingen of systemen die eigendom zijn van VobeSoft
• Elke kwetsbaarheid die is ontstaan door het compromitteren van een klant-, reseller- of werknemersaccount van VobeSoft
• Beveiligingsfouten op websites van derden die zijn geïntegreerd met VobeSoft
• Denial of Service (DoS/DDoS) kwetsbaarheden op netwerkniveau en bugs bij uitputting van bronnen
• Clickjacking en problemen die alleen via clickjacking kunnen worden misbruikt
• Self-XSS- of XSS-bugs die een onwaarschijnlijke hoeveelheid gebruikersinteractie vereisen
• Kwetsbaarheden die gebruikers van verouderde of niet-ondersteunde browsers of platforms treffen
• Ontbrekende HTTP-beveiligingsheaders, met name: Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, XContent-Type-Options en Content-Security-Policy
• Een individueel zijn die voorkomt op of woonachtig is in een land dat voorkomt op de Amerikaanse sanctielijst
• Openbaarmaking van bekende openbare bestanden of mappen (bijvoorbeeld robots.txt)
• Openbaarmaking van banners op gemeenschappelijke/openbare diensten
• Metagegevens van geüploade bestanden worden niet gewijzigd of verwijderd (bijv. EXIF-gegevens op geüploade afbeeldingen)
• Aanwezigheid van de functie 'automatisch aanvullen' of 'wachtwoord opslaan' van applicties of webbrowsers
• Kwaadaardige links sturen naar mensen die je kent
• Kwetsbaarheden waarbij een potentieel slachtoffer niet-standaard software moet installeren of anderszins actieve stappen moet nemen om zichzelf kwetsbaar te maken
• Kwetsbaarheidsrapporten met behulp van geautomatiseerde tools zonder validatie

Onderzoekers

Onze toewijding aan onderzoekers

• Veilige haven: Vrijstelling van beperkingen in onze Algemene voorwaarden die het uitvoeren van beveiligingsonderzoek op beperkte basis zouden belemmeren voor werkzaamheden die in het kader van dit beleid worden uitgevoerd
• Respect: We behandelen alle onderzoekers met respect en erkennen jouw bijdrage aan de veiligheid en beveiliging van onze klanten
• Transparantie: We zullen met je samenwerken om gemelde kwetsbaarheden te valideren en te verhelpen in overeenstemming met onze toewijding aan beveiliging en privacy
• Gemeenschappelijk belang: We onderzoeken en verhelpen problemen op een manier die consistent is met de bescherming van de veiligheid en beveiliging van degenen die mogelijk getroffen zijn door een gerapporteerde kwetsbaarheid

Wat we van onderzoekers vragen

• Vertrouwen: We verzoeken je op een verantwoorde manier te communiceren over mogelijke kwetsbaarheden, waarbij je ons voldoende tijd en informatie geeft om mogelijke problemen te valideren en aan te pakken
• Respect: We verzoeken onderzoekers alles in het werk te stellen om privacyschendingen, verslechtering van de gebruikerservaring, verstoring van productiesystemen en vernietiging van gegevens tijdens beveiligingstests te voorkomen
• Transparantie: We verzoeken onderzoekers de technische gegevens en achtergrondinformatie te verstrekken die nodig zijn om gemelde problemen te identificeren en te valideren met behulp van het onderstaande formulier
• Gemeenschappelijk belang: We verzoeken onderzoekers om te handelen voor het gemeenschappeijk belang, door de privacy en veiligheid van gebruikers te beschermen door geen kwetsbaarheden openbaar te maken. Zoals altijd wordt van je verwacht dat je alle toepasselijke wetten naleeft

Als je op enig moment zorgen hebt of nog moet vaststelen of je beveiligingsonderzoek in overeenstemming is met dit beleid, informeer dan via support@vobesoft.com voordat je verder gaat.