man en vrouw werken samen aan tafel

Responsible Disclosure

We vinden het belangrijk dat onze klanten veilig gebruik kunnen maken van onze dienstverlening.

Ontdekt u een kwetsbaarheid in een van onze systemen? Dan werken we graag samen met u aan een oplossing. Een mogelijke zwakke plek kunt u aan ons melden via security@alpinagroup.com.

Wij stellen het zeer op prijs als u een zwakke plek eerst aan ons meldt, voordat u dit aan de
buitenwereld verspreidt. Zo hebben wij de kans om op tijd maatregelen te nemen en een oplossing te zoeken, voordat eventuele kwaadwillenden er misbruik van kunnen maken. Wij noemen dit Responsible Disclosure.

Goede beveiliging heeft prioriteit

De veiligheid en betrouwbaarheid van onze systemen vinden we heel belangrijk. Daarom nemen wij uw melding uiterst serieus. De digitale wereld verandert in een hoog tempo en we realiseren ons als geen ander dat we waakzaam moeten zijn voor kwetsbaarheden. Ondanks onze inspanningen kunnen er toch nog situaties ontstaan waarin sprake is van een zwakke plek in onze beveiliging.

Wat kunt u melden?

Heeft u een veiligheidsprobleem of zwakke plek ontdekt? Meld dit dan zo snel mogelijk, zodat wij snel actie kunnen ondernemen. Voorbeelden van kwetsbaarheden die u kunt melden:

  • Cross-Site Scripting (XSS) kwetsbaarheden
  • Large scale Users’ Sensitive Information Leakage
  • Remote Code Execution (RCE)
  • XML External Entity Attacks (XXE)
  • Access Control Issues
  • Server-Side Request Forgery (SSRF)
  • Cross-site Scripting (XSS)
  • Cross-site Request Forgery (CSRF)
  • SQL injection

Kwetsbaarheden out of scope:

  • Self-XSS that cannot be used to exploit other users
  • Vulnerabilities affecting users of outdated browsers or platforms
  • Verbose messages/files/directory listings without disclosing any sensitive information
  • CORS misconfiguration on non-sensitive endpoints
  • Missing cookie flags
  • Missing security headers
  • Cross-site Request Forgery with no or low impact
  • Presence of autocomplete attribute on web forms
  • Reverse tabnabbing
  • Bypassing rate-limits or the non-existence of rate-limits.
  • Best practices violations (password complexity, expiration, re-use, etc.)
  • Clickjacking on pages with no sensitive actions
  • CSV Injection
  • Host Header Injection
  • Sessions not being invalidated (logout, enabling 2FA, ..)
  • Hyperlink injection/takeovers
  • Mixed content type issues
  • Cross-domain referer leakage
  • Anything related to email spoofing, SPF, DMARC or DKIM
  • Content injection
  • Username / email enumeration
  • E-mail bombing
  • HTTP Request smuggling without any proven impact
  • Homograph attacks
  • XMLRPC enabled
  • Banner grabbing / Version disclosure
  • Open ports without an accompanying proof-of-concept demonstrating vulnerability
  • Weak SSL configurations and SSL/TLS scan reports
  • Not stripping metadata of images
  • Disclosing credentials without proven impact
  • Disclosing API keys without proven impact
  • Same-site scripting
  • Subdomain takeover without taken over the subdomain
  • Arbitrary file upload without proof of the existence of the uploaded file
  • Physical or social engineering attacks
  • Attacks requiring MITM or physical access to a user’s device

Hoe moet ik een melding doen?

Stuur een e-mail naar security@alpinagroup.com. Beschrijf hierin zo concreet mogelijk de ontdekte
kwetsbaarheid. Uw melding wordt door specialisten wordt; een korte specifieke beschrijving of bewijs is daarom vaak voldoende. Stuur ook uw contactgegevens (zoals een telefoonnummer waarop u bereikbaar bent) mee, zodat wij eventueel contact kunnen opnemen voor aanvullende informatie.

Privacy

Wij geven uw identiteit niet door aan derden en gebruiken uw gegevens niet voor andere doeleinden dan om u te laten weten wat we doen met uw melding. Als de bevoegde autoriteiten uw gegevens opvragen, zijn wij echter verplicht deze verstrekken, zonder voorafgaande toestemming.
Wat doen wij met uw melding?

Een team van beveiligingsexperts onderzoekt uw melding. Binnen 1 werkdag ontvangt u van ons een ontvangstbevestiging. Binnen 5 werkdagen geven we een reactie op de inhoud van uw melding.

Wat verwachten wij van u?

Maak het probleem niet openbaar, het risico is dat kwaadwillenden dit dan kunnen uitbuiten. Praat met onze experts en geef hen de tijd het probleem op te lossen. Wij laten u zo snel mogelijk weten wat we met uw melding hebben gedaan en – indien nodig – welke maatregelen we nemen. Spelregels

Als u ons wilt helpen zwakke plekken te vinden, moet u mogelijk handelingen verrichten die strafbaar zijn. Voogd & Voogd doet geen aangifte bij de politie, zolang u te goeder trouw, zorgvuldig en volgens de hieronder aangegeven spelregels handelt:
1. Plaats geen backdoor in een informatiesysteem om vervolgens daarmee de kwetsbaarheid aan te tonen, aangezien daarmee aanvullende schade kan worden aangericht en onnodige veiligheidsrisico’s worden gelopen
2. Maak geen gebruik van social engineering om toegang te krijgen tot een systeem
3. Maak zo minimaal mogelijk gebruik van een kwetsbaarheid, doe alleen datgene wat noodzakelijk is om de kwetsbaarheid vast te stellen
4. Kopieer, wijzig of verwijder geen gegevens van het systeem. Maak eventueel een directory listing of screenshot
5. Breng geen wijzigingen aan in onze systemen;
6. Probeer niet herhaaldelijk toegang tot het systeem te verkrijgen en deel de verkregen toegang niet met anderen;
7. Gebruik geen ‘bruteforce’ om toegang te krijgen tot systemen, dan is immers geen sprake van een kwetsbaarheid, maar van het herhaaldelijk proberen van wachtwoorden
8. Maak geen gebruik van geautomatiseerde tooling om kwetsbaarheden te ontdekken.

Nationaal Cyber Security Centrum

Deze responsible disclosure regeling is gebaseerd op de Leidraad Responsible Disclosure van het NCSC. Zie ook de website van het NCSC: www.ncsc.nl.