Kennismaken
.
Kennismaken

Coordinated Vulnerability Disclosure (English below)

Beveiliging niet in orde? Meld het ons

Bij Newtee vinden we de veiligheid van onze systemen en bescherming van informatie van onze klanten erg belangrijk. We besteden dan ook veel aandacht aan beveiliging in het onderhoud en de ontwikkeling van onze systemen. Ondanks onze zorg en inzet kan het voorkomen dat er een zwakke plek ontstaat in onze IT-systemen. Als u denkt een zwakke plek te hebben gevonden, dan werken we graag met u samen om deze situatie zo spoedig mogelijk op te lossen. We verzoeken u dan ook deze informatie met ons te delen.

Rapporteer wel:

  • Niet of foutief werkende authenticatie

  • Het kunnen omzeilen van ingestelde authorisaties

  • Server-side code execution (RCE)

  • Stored Cross-Site Scripting (XSS)

  • Cross-Site Request Forgery (CSRF/XSRF)

  • Database manipulatie (SQL Injection)

Rapporteer niet:

  • Veroudere versies van libraries

  • Aanwezigheid van banner- of versieinformatie

  • Social hacking

  • Dictionairy attacks

  • Self-XSS

  • Missende / niet streng geconfigureerde DNS (SPF) records

  • Missende / niet streng geconfigureerde security headers op publieke pagina’s

  • Fouten die uiterst onwaarschijnlijke gebruikersinteractie vereisen. Bijvoorbeeld, een cross-site scripting-kwetsbaarheid die vereist dat het slachtoffer handmatig een XSS-payload typt en vervolgens op een foutmelding klikt.

Om misbruik van het beveiligingslek door anderen te voorkomen, vragen we u om:

  • uw bevindingen te mailen naar support@newtee.nl, indien mogelijk versleuteld.
  • voldoende informatie te geven, zodat we uw melding zo effectief mogelijk kunnen behandelen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • het probleem niet te misbruiken, bijvoorbeeld door meer data te downloaden dan nodig is om de zwakheid aan te tonen of om gegevens van derden in te kijken, te verwijderen of aan te passen.
  • het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen door het beveiligingslek direct na het dichten van het lek te wissen.
  • geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
  • geen actief misbruik te maken van het beveiligingslek.

U mag van Newtee verwachten dat we:

  • binnen drie werkdagen op uw melding reageren met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • wanneer u zich heeft gehouden aan bovenstaande voorwaarden geen juridische stappen tegen u ondernemen betreffende de melding.
  • uw melding vertrouwelijk behandelen en uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
  • u op de hoogte houden van de voortgang van het oplossen van het probleem.
  • in berichtgeving over het gemelde probleem, indien u dit wenst, uw naam vermelden als de ontdekker.

  • als dank voor uw hulp een beloning bieden in de vorm van een goodiebag of voucher. De grootte van de beloning bepalen wij op basis van de ernst van de lek en de kwaliteit van het rapport. De beloning wordt alleen toegekend aan inwoners van de EU/EEA.

Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

Het beleid voor responsible disclosure is vanzelfsprekend geen uitnodiging om onze ICT-systemen actief te scannen om zwakke plekken te ontdekken. Newtee monitort zelf haar ICT-systemen. 

Coordinated Vulnerability Disclosure (Nederlands bovenaan)

Security not in order? Report it to us

At Newtee, we consider the security of our systems and the protection of our customers’ information to be very important. We therefore pay a lot of attention to security in the maintenance and development of our systems. Despite our care and effort, it is possible that a weak spot may arise in our IT systems. If you think you have found a weak spot, we would be happy to work with you to resolve the situation as soon as possible. We therefore ask you to share this information with us.

Please report:

  • Malfunctioning or incorrect authentication
  • Ability to bypass set authorizations
  • Server-side code execution (RCE)
  • Stored Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF/XSRF)
  • Database manipulation (SQL Injection)

Do not report:

  • Outdated versions of libraries
  • Presence of banner or version information
  • Social hacking
  • Dictionary attacks
  • Self-XSS
  • Missing / not strictly configured DNS (SPF) records
  • Missing / not strictly configured security headers on public pages
  • Errors that require extremely unlikely user interaction, such as a cross-site scripting vulnerability that requires the victim to manually type an XSS payload and then click on an error message.

To prevent others from abusing the security vulnerability, we ask you to:

  • email your findings to support@newtee.nl, encrypted if possible.
  • provide sufficient information so that we can handle your report as effectively as possible. Usually the IP address or URL of the affected system and a description of the vulnerability is sufficient, but more may be needed for more complex vulnerabilities.
  • do not abuse the problem, for example by downloading more data than necessary to demonstrate the weakness or by viewing, deleting or modifying third-party data.
  • do not share the problem with others until it has been resolved and delete any confidential data obtained through the security vulnerability immediately after the vulnerability has been closed.
  • do not use attacks on physical security, social engineering, distributed denial of service, spam or third-party applications.
  • do not actively abuse the security vulnerability.

You can expect Newtee to:

  • respond to your report within three business days with our assessment of the report and an expected date for a solution.
  • not take legal action against you regarding the report if you have complied with the above conditions.
  • treat your report confidentially and not share your personal information with third parties without your consent, unless necessary to comply with a legal obligation. Reporting under a pseudonym is possible.
  • keep you informed of the progress in resolving the problem.
  • mention your name as the discoverer in communications about the reported problem, if you wish.
  • as a thank you for your help, we offer a reward in the form of a goodie bag or voucher. The size of the reward is determined by us based on the severity of the vulnerability and the quality of the report. The reward is only awarded to residents of the EU/EEA.

We strive to resolve all problems as quickly as possible and we are happy to be involved in any publication about the problem after it has been resolved.

The responsible disclosure policy is not an invitation to actively scan our IT systems to discover weak spots. Newtee monitors its own IT systems.

×
Cookies
Deze website maakt gebruik van functionele en statistische cookies. Wil je meer weten over het gebruik van deze cookies? Lees onze Privacy Policy
Cookie instellingen Alles accepteren
Cookies
Deze website gebruikt cookies om je ervaring te verbeteren terwijl je door de website navigeert. Van deze cookies worden de cookies die indien nodig zijn gecategoriseerd, opgeslagen in je browser omdat ze essentieel zijn voor het functioneren van de website. We gebruiken ook cookies van derden die ons helpen analyseren en begrijpen hoe je deze website gebruikt. Deze cookies worden alleen met jouw toestemming in je browser opgeslagen. Je hebt ook de mogelijkheid om je af te melden voor deze cookies. Maar het afmelden van sommige van deze cookies kan een effect hebben op de browse-ervaring. Lees onze Privacy Policy
Opslaan Alles accepteren