SKIKK Responsible Disclosure Program
Overzicht
Bij SKIKK staan de beveiliging van onze systemen en de bescherming van de gegevens van onze klanten voorop.
Ondanks onze inspanningen kunnen er nog steeds kwetsbaarheden bestaan. Daarom verwelkomen wij verantwoord beveiligingsonderzoek en bieden wij dit Responsible Disclosure Program aan, zodat onderzoekers beveiligingsproblemen op een veilige en ethische manier kunnen melden.
Dit programma is uitsluitend bedoeld voor beveiligingsonderzoek te goeder trouw. Het is geen bug bounty programma en biedt geen geldelijke beloningen.
Scope
Domeinen binnen scope
-
www.skikk.eu
Alleen systemen die eigendom zijn van en beheerd worden door SKIKK vallen binnen de scope. Diensten van derden, integraties en externe providers vallen buiten de scope, tenzij uitdrukkelijk anders vermeld.
Kwetsbaarheidscategorieën binnen scope
Wij zijn met name geïnteresseerd in kwetsbaarheden die invloed kunnen hebben op de vertrouwelijkheid, integriteit of beschikbaarheid van onze systemen of klantgegevens, waaronder maar niet beperkt tot:
-
Sensitive Data Exposure
-
Problemen met authenticatie & sessiebeheer
-
Insecure Direct Object References (IDOR)
-
Injection-kwetsbaarheden (SQL, command, enz.)
-
Cross-Site Scripting (XSS) – stored of reflected
-
Remote Code Execution (RCE)
-
Security misconfiguration
-
Broken access control
-
Directory / path traversal
-
Blootstelling van inloggegevens of secrets
Bevindingen buiten scope
De volgende zaken vallen buiten de scope en kunnen zonder verdere beoordeling worden gesloten:
-
Social engineering, phishing, vishing of impersonatie
-
Denial-of-Service (DoS / DDoS) testen
-
Brute-force aanvallen of account enumeration
-
Output van geautomatiseerde scanners zonder handmatige validatie
-
Suggesties voor een zwak wachtwoordbeleid
-
Ontbrekende HTTP-headers zonder aangetoond risico
-
Cookie flags op niet-gevoelige cookies
-
Clickjacking of CSRF op niet-gevoelige pagina's
-
E-mail SPF / DKIM / DMARC configuratieproblemen
-
Open redirects zonder beveiligingsimpact
-
Zelf-exploitatie of uitsluitend theoretische problemen
-
Problemen die onrealistische gebruikersinteractie vereisen
-
Kwetsbaarheden die al bekend zijn bij SKIKK
-
Meldingen op basis van gelekte, gestolen of gecompromitteerde inloggegevens
Regels voor onderzoek
Bij het testen moet je:
-
Alleen testen op accounts die je zelf bezit en beheert
-
Handelingen vermijden die de beschikbaarheid van de dienst aantasten
-
Geen gegevens van andere gebruikers benaderen, wijzigen of verwijderen
-
Geen malware of kwaadaardige payloads uploaden
-
Kwetsbaarheden niet verder misbruiken dan een proof of concept
-
Geen fysieke beveiligingstesten uitvoeren
-
Kwetsbaarheden niet openbaar maken vóór oplossing
-
Alle tijdens het testen verkregen gevoelige gegevens verwijderen
Het niet naleven van deze regels kan leiden tot uitsluiting van het programma.
Een kwetsbaarheid melden
Meldingen kunnen per e-mail worden ingediend bij:
security@skikk.eu
Je melding dient het volgende te bevatten:
-
Een duidelijke omschrijving van het probleem
-
Betrokken URL(s) of endpoint(s)
-
Stappen om te reproduceren
-
Proof of concept waar van toepassing
-
Inschatting van de impact
Onvolledige of onduidelijke meldingen kunnen worden afgewezen.
Onze toezegging
Als je dit beleid volgt, verplichten wij ons om:
-
De ontvangst van je melding te bevestigen
-
Gemelde problemen te beoordelen en te valideren
-
Je waar passend op de hoogte te houden van de voortgang
-
Geen juridische stappen te ondernemen tegen onderzoek te goeder trouw
-
Je melding vertrouwelijk te behandelen
De oplossingstermijnen kunnen variëren afhankelijk van de ernst en complexiteit.
Geen beloningen
SKIKK biedt geen geldelijke beloningen, bounties of uitbetalingen voor gemelde kwetsbaarheden. Dit is een responsible disclosure programma gebaseerd op samenwerking te goeder trouw, geen betaald bug bounty programma.
Wij waarderen de tijd en inzet van beveiligingsonderzoekers ten zeerste, en erkennen graag geldige bijdragen waar dit passend is, maar deelname is vrijwillig en geeft geen recht op enige vergoeding.
Juridische voorwaarden
Door een melding in te dienen, bevestig je dat:
-
Jij de oorspronkelijke auteur bent van de melding
-
Je SKIKK het recht verleent om de melding te gebruiken en op te volgen
-
Je de kwetsbaarheid niet openbaar zult maken zonder schriftelijke toestemming
-
Je de naam of het merk van SKIKK niet gebruikt voor promotie
Tot slot
Dit programma kan op elk moment zonder voorafgaande kennisgeving worden gewijzigd of stopgezet. Deelname is vrijwillig en geeft geen recht op enige beloning of vergoeding.
Bedankt dat je helpt om SKIKK en onze klanten veilig te houden.