Responsible Disclosure

We vinden de veiligheid van al onze systemen erg belangrijk. Ondanks onze dagelijkse zorg aan van onze systemen, kan het voorkomen dat er toch ergens een zwakke plek bestaat. Vandaar dat we deze responsible disclosure policy hebben opgezet.

Responsible disclosure komt neer op het volgende: als jij een zwakke plek in één van onze systemen hebt aangetroffen, horen we dit graag zo spoedig mogelijk. Daarna zullen we zo snel mogelijk passende maatregelen treffen. We werken graag met je samen om onze klanten en onze systemen beter te kunnen beschermen.

We vragen het volgende:

  • Je bevindingen te mailen naar disclosure@level-level.com,
  • Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te wissen,
  • Voldoende informatie te geven om het probleem te reproduceren zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan er meer nodig zijn.
  • Vermijd in elk geval de volgende handelingen:
    1. het plaatsen van malware;
    2. het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
    3. het aanbrengen van veranderingen in het systeem;
    4. het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen;
    5. het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen;
    6. het gebruik maken van denial-of-service of social engineering.

We beloven het volgende:

  • We reageren binnen 5 werkdagen op jouw melding met onze analyse van de melding en een verwachte datum voor een oplossing;
  • We houden je op de hoogte van de voortgang van het oplossen van het probleem;
  • Als jij je aan bovenstaande voorwaarden hebt gehouden zullen we geen juridische stappen tegen je ondernemen betreffende de melding;
  • We behandelen jouw melding vertrouwelijk en zullen jouw persoonlijke gegevens niet zonder toestemming met derden delen, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is;
  • Je kunt anoniem of onder een pseudoniem melden. We kunnen dan echter geen contact met je opnemen over bijvoorbeeld de vervolgstappen, voortgang van het dichten van het lek, publicatie of de eventuele beloning voor de melding;
  • In berichtgeving over het gemelde probleem zullen we, indien je dit wenst, jouw naam vermelden als de ontdekker;
  • We worden graag betrokken bij een eventuele publicatie door melder zelf over het probleem, nadat het is opgelost;
  • We kunnen je een beloning geven voor je onderzoek, maar zijn hiertoe niet verplicht. Je hebt dus niet zonder meer recht op een vergoeding. De vorm van deze beloning staat niet van tevoren vast en wordt door ons per geval bepaald. Of we een beloning geven en de vorm waarin dat gebeurt, hangt af van de zorgvuldigheid van je onderzoek, de kwaliteit van de melding en de ernst van het lek. Het moet hierbij in ieder geval gaan om een voor Level Level nog onbekend en serieus beveiligingsprobleem. Meldingen over WordPress die bijvoorbeeld in de CVE database staan zijn bekend bij ons.

Ons beleid valt onder een Creative Commons Naamsvermelding 3.0-licentie. Het beleid is gebaseerd op het voorbeeldbeleid van Floor Terra.

 

Laatste update: 28 mei 2018