Ontsluitingsbeleid

Bij Keeping vinden we de veiligheid van de door ons ontwikkelde softwareproducten en onze eigen systemen erg belangrijk. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een kwetsbaarheid aanwezig is.

Als je een kwetsbaarheid in één van onze eigen systemen (keeping.nl) hebt gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. We willen graag met jou samenwerken om de eindgebruikers, onze opdrachtgevers en onze systemen beter te kunnen beschermen.

Wij streven ernaar alle problemen zo snel mogelijk op te lossen en we worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

De uitkomst van een gemeld probleem kan niet ter discussie gesteld worden. Het is aan Keeping om te bepalen of een gemeld probleem inderdaad een risico vormt. Er kunnen namelijk situaties zijn die vanuit bedrijfsmatig oogpunt een geaccepteerd risico zijn.

Softwareproducten out of scope

Wij gebruiken software van derden, deze software bevat geen kritieke gegevens en wordt in sommige gevallen extern gehost. Daarnaast betreffen de softwareproducten van Keeping ook app's en extensies. Beveiligingsmeldingen voor het volgende:

  • developer.keeping.nl (Documentatie voor ontwikkelaars);
  • status.keeping.nl (Statuspagina, gehost door Atlassian);
  • echo.keeping.nl (Berichten server).
  • De mobiele app's (iOS en Android);
  • Firefox en Chrome extensies;
  • Firefox en Chrome extensies;

Zijn uitgesloten van het ontsluitingsbeleid / Responsible Disclosure.

Wij vragen:

  • Je bevindingen te mailen naar [email protected]. Versleutel je bevindingen met onze PGP key om te voorkomen dat de informatie in verkeerde handen valt,
  • Alleen problemen te vermelden die een daadwerkelijk hoge kwetsbaarheid of risico vormen voor de veiligheid van de software;
  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen,
  • Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te wissen,
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden, en
  • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wij beloven:

  • Wij reageren binnen 5 dagen op de melding met onze beoordeling van de melding en een verwachte datum voor een oplossing,
  • Als jij je aan bovenstaande voorwaarden hebt gehouden zullen wij geen juridische stappen tegen jou ondernemen betreffende de melding,
  • Wij behandelen je melding vertrouwelijk en zullen je persoonlijke gegevens niet zonder jouw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk,
  • Wij houden je op de hoogte van de voortgang van het oplossen van het probleem,
  • In berichtgeving over het gemelde probleem zullen wij, indien je dit wenst, jouw naam vermelden als de ontdekker, en
  • Als dank voor jouw hulp bieden wij een beloning aan voor elke melding van een ons nog onbekend beveiligingsprobleem. De grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding met een minimum van € 15,- en een maximum van € 45,-. De hoogte van de beloning kan niet ter discussie gesteld worden.

Uitzonderingen

Wij hebben geen beloningen voor triviale of niet direct uit te buiten problemen of problemen welke al eerder gemeld zijn. Hieronder vind je een aantal voorbeelden van bekende kwetsbaarheden en geaccepteerde risico's waarvoor wij geen belonging hebben.

  • Problemen die vanuit bedrijfsmatig oogpunt een geaccepteerd risico zijn, bijvoorbeeld ten behoeve van een gebruiksvriendelijke interface, gebruiksvriendelijke workflow of onnodige complexiteit voor de eindgebruiker;
  • HTTP-server­reactie met een non-200 statuscode;
  • Fingerprinting en version banner disclosure;
  • Publiek toe­gankelijke bestanden en mappen met niet ge­voelige informatie – bijv. robots.txt;
  • Clickjacking en ge­relateerd kwets­baarheden;
  • Kwetsbaarheden in front-end third-party libraries zoals jQuery;
  • CSRF op uitlog­functie of op formulieren die be­schikbaar zijn zonder sessie – bijv. een contact­formulier;
  • Aanwezigheid van 'auto-aanvullen' of 'wachtwoord opslaan' functie­ondersteuning;
  • Zwakke CAPTCHA of CAPTCHA-omzeiling;
  • Brute­force op publiek toegankelijke formulieren en 'account lockout' niet af­gedwongen;
  • Ontbreken van 'Secure'- en 'HTTP Only'-vlaggen op niet gevoelige cookies;
  • Ontbreken van een limiter op het aanvragen van de e-mail met geauthoriseerde link en andere publiek toegankelijke formulieren;
  • Workarounds om Keeping met foutieve betaalgegevens kortstondig te gebruiken;
  • Toegestane HTTP-aan­vragen met OPTIONS-methode;
  • Gebruikers­naam of e-mail­adres enumeratie door bruteforce pogingen via login-fout­meldingen of 'wachtwoord vergeten'-fout­meldingen;
  • Ontbreken van controle op tekst-lengte op publieke formulieren zoals e-mail, wachtwoord;
  • Ontbreken van een bevestigingsvraag, zoals opnieuw wachtwoord invoeren of het vragen van een extra e-mailbevestiging, etc.;
  • Ontbreken of onjuist geconfigureerde HTTP- en HSTS-headers zoals: Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP, etc.;
  • Ontbreken of onjuist geconfigureerde Cross-Origin Resource Sharing (CORS)-headers;
  • Ontbreken of onjuist geconfigureerde HTTP Strict Transport Security (HSTS)-headers
  • Ontbreken of onjuist geconfigureerde van HTTP Public Key Pinning (HPKP);
  • Ontbreken of onjuist geconfigureerde SPF, DKIM, DMARC, BIMI-regels;
  • Ontbreken of onjuist geconfigureerde SSL/TLS instellingen;
  • Kwetsbaarheden die van toepassing zijn op onderdelen die door third-parties verzorgd worden, zoals Cloudflare, Atlassian Statuspage, developer.keeping.nl, etc.
  • Het manipuleren van request headers zoals 'Host', 'Origin' en 'Referer', met als intentie om gebruikers naar externe sites te leiden.
  • SSL-configuratie­zwakheden waaronder: SSL-aanvallen die niet van buiten­af zijn te misbruiken, het ont­breken van SSL 'Forward Secrecy' en het onder­steunen van on­veilige cipher suites;
  • Mogelijkheid van 'Host'-headerinjectie;
  • Content spoofing en tekstinjectie op pagina's met een fout­melding;
  • Het rapporteren van oude software versies zonder een proof-of-concept of werkende exploit;
  • Het lekken van informatie in metadata;
  • Het missen van DNSSEC;
  • Het missen van validatie van IBAN nummers of documentnummers;
  • Het missen van het verplichten van sterke wachtwoorden;
  • Het verlopen of inactive domein­namen;
  • Same Site Scripting of gebruik via een localhost DNS-regel.
  • Ontbreken of onjuist geconfigureerde Cache-Control headers of het actief blijven van login-sessies op andere apparaten / browsers na uitloggen;
  • Ontbreken van verplichte e-mail verificatie bij o.a. registratie, wijzigingen in account, instellen van 2FA en andere wijzigingen in het account (gemeld en bekend, wordt momenteel gerealiseerd);
  • Ontbreken van controle op het toevoegen van + aan e-mail adressen (zoals [email protected] bij [email protected]);

Delen uit deze tekst zijn gebaseerd op een tekst geschreven door Floor Terra (Creative Commons Naamsvermelding 3.0).