Aanmelden

Coordinated Vulnerability Disclosure (English below)

Beveiliging niet in orde? Meld het ons

Bij PGBeetje vinden we de veiligheid van onze systemen en de bescherming van gegevens van onze klanten erg belangrijk. We besteden dan ook veel aandacht aan beveiliging. Ondanks onze zorg kan het voorkomen dat er een zwakke plek ontstaat in onze IT-systemen. Als je denkt een zwakke plek te hebben gevonden, dan werken we graag met je samen om dit zo snel mogelijk op te lossen. We vragen je om deze informatie met ons te delen.

Rapporteer wel:

  • Niet of foutief werkende authenticatie
  • Het kunnen omzeilen van ingestelde authorisaties
  • Server-side code execution (RCE)
  • Stored Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF/XSRF)
  • Database manipulatie (SQL Injection)

Rapporteer niet:

  • Veroudere versies van libraries
  • Aanwezigheid van banner- of versieinformatie
  • Social hacking
  • Dictionairy attacks
  • Self-XSS
  • Missende / niet streng geconfigureerde DNS (SPF) records
  • Missende / niet streng geconfigureerde security headers op publieke pagina’s
  • Fouten die uiterst onwaarschijnlijke gebruikersinteractie vereisen. Bijvoorbeeld, een cross-site scripting-kwetsbaarheid die vereist dat het slachtoffer handmatig een XSS-payload typt en vervolgens op een foutmelding klikt.

Om misbruik door anderen te voorkomen, vragen we je om:

  • je bevindingen te mailen naar contact@pgbeetje.nl, als dat kan versleuteld.
  • voldoende informatie te geven, zodat we je melding goed kunnen behandelen. Meestal is het IP-adres of de URL en een omschrijving van het probleem genoeg.
  • het probleem niet te misbruiken. Download bijvoorbeeld niet meer data dan nodig is om de zwakke plek aan te tonen of om gegevens van derden in te kijken, te verwijderen of aan te passen.
  • het probleem niet met anderen te delen totdat het is opgelost. Wis alle vertrouwelijke gegevens die je hebt gevonden direct nadat het lek is gedicht.
  • geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van anderen.
  • geen actief misbruik te maken van het probleem.

Je mag van PGBeetje verwachten dat we:

  • binnen drie werkdagen op je melding reageren. Je hoort dan wat we ervan vinden en wanneer we een oplossing verwachten.
  • geen juridische stappen tegen je ondernemen als je je aan de regels hebt gehouden.
  • je melding vertrouwelijk behandelen. We delen je persoonlijke gegevens niet zonder jouw toestemming, tenzij dit volgens de wet moet. Melden onder een verzonnen naam (pseudoniem) is mogelijk.
  • je op de hoogte houden van de voortgang.
  • je naam vermelden als ontdekker, als je dat wilt.
  • als dank een beloning bieden in de vorm van een goodiebag of voucher. Wij bepalen hoe groot de beloning is. Dit hangt af van hoe ernstig het lek is. De beloning is alleen voor inwoners van de EU/EEA.

Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

Het beleid voor responsible disclosure is vanzelfsprekend geen uitnodiging om onze ICT-systemen actief te scannen om zwakke plekken te ontdekken. PGBeetje monitort zelf haar ICT-systemen.

Coordinated Vulnerability Disclosure (Nederlands bovenaan)

Security not in order? Report it to us

At PGBeetje, we consider the security of our systems and the protection of our customers’ information to be very important. We therefore pay a lot of attention to security in the maintenance and development of our systems. Despite our care and effort, it is possible that a weak spot may arise in our IT systems. If you think you have found a weak spot, we would be happy to work with you to resolve the situation as soon as possible. We therefore ask you to share this information with us.

Please report:

  • Malfunctioning or incorrect authentication
  • Ability to bypass set authorizations
  • Server-side code execution (RCE)
  • Stored Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF/XSRF)
  • Database manipulation (SQL Injection)

Do not report:

  • Outdated versions of libraries
  • Presence of banner or version information
  • Social hacking
  • Dictionary attacks
  • Self-XSS
  • Missing / not strictly configured DNS (SPF) records
  • Missing / not strictly configured security headers on public pages
  • Errors that require extremely unlikely user interaction, such as a cross-site scripting vulnerability that requires the victim to manually type an XSS payload and then click on an error message.

To prevent others from abusing the security vulnerability, we ask you to:

  • email your findings to support@pgbeetje.nl, encrypted if possible.
  • provide sufficient information so that we can handle your report as effectively as possible. Usually the IP address or URL of the affected system and a description of the vulnerability is sufficient, but more may be needed for more complex vulnerabilities.
  • do not abuse the problem, for example by downloading more data than necessary to demonstrate the weakness or by viewing, deleting or modifying third-party data.
  • do not share the problem with others until it has been resolved and delete any confidential data obtained through the security vulnerability immediately after the vulnerability has been closed.
  • do not use attacks on physical security, social engineering, distributed denial of service, spam or third-party applications.
  • do not actively abuse the security vulnerability.

You can expect PGBeetje to:

  • respond to your report within three business days with our assessment of the report and an expected date for a solution.
  • not take legal action against you regarding the report if you have complied with the above conditions.
  • treat your report confidentially and not share your personal information with third parties without your consent, unless necessary to comply with a legal obligation. Reporting under a pseudonym is possible.
  • keep you informed of the progress in resolving the problem.
  • mention your name as the discoverer in communications about the reported problem, if you wish.
  • as a thank you for your help, we offer a reward in the form of a goodie bag or voucher. The size of the reward is determined by us based on the severity of the vulnerability and the quality of the report. The reward is only awarded to residents of the EU/EEA.

We strive to resolve all problems as quickly as possible and we are happy to be involved in any publication about the problem after it has been resolved.

The responsible disclosure policy is not an invitation to actively scan our IT systems to discover weak spots. PGBeetje monitors its own IT systems.

Benieuwd hoe PGBeetje jouw administratie kan versimpelen?

Kennismaken