Verantwoorde openbaarmaking

Bij VanMoof beschouwen we de veiligheid van onze systemen – en onze gebruikers – als een topprioriteit. Maar hoeveel moeite we ook doen om het systeem te beveiligen, er kunnen nog steeds kwetsbaarheden aanwezig zijn.

1. Regels

1

Verstrek gedetailleerde rapporten met reproduceerbare stappen. Als het rapport niet gedetailleerd genoeg is om het probleem te reproduceren, wordt het probleem mogelijk niet beoordeeld.

2

Dien één kwetsbaarheid per melding in, tenzij je kwetsbaarheden aan elkaar moet koppelen om impact te bieden.

3

Social engineering (bijv. phishing, vishing, smishing) is verboden.

4

Handel te goeder trouw om privacyschendingen, vernietiging van gegevens en onderbreking of verslechtering van onze service te voorkomen. Communiceer alleen met accounts waarvan je de eigenaar bent of indien je daarvoor expliciet toestemming hebt gekregen van de accounthouder.

2. Reikwijdte

1

Bij VanMoof beschouwen we de veiligheid van onze systemen – en onze gebruikers – als een topprioriteit. Maar hoeveel moeite we ook doen om het systeem te beveiligen, er kunnen nog steeds kwetsbaarheden aanwezig zijn.

3. Kwetsbaarheden die buiten de reikwijdte vallen

1

Clickjacking op pagina's zonder gevoelige acties.

2

Cross-Site Request Forgery (CSRF) op niet-geverifieerde formulieren of formulieren zonder gevoelige acties.

3

Aanvallen die MITM of fysieke toegang tot het apparaat van een gebruiker vereisen.

4

Eerder bekende kwetsbare bibliotheken zonder een werkende Proof of Concept.

5

Injectie van kommagescheiden waarden (CSV) die geen kwetsbaarheid aantoont.

6

Ontbrekende best practices in SSL/TLS-configuratie.

7

Elke activiteit die kan leiden tot de verstoring van onze service (DoS).

8

Problemen met contentspoofing en tekstinjectie die geen aanvalsvector tonen/geen HTML/CSS kunnen wijzigen.

9

Problemen met snelheidsbeperking of bruteforce op eindpunten zonder authenticatie.

10

Ontbrekende best practices in het beveiligingsbeleid voor inhoud (CSP).

11

Ontbrekende Http Only- of Secure-vlaggen op cookies.

12

Ontbrekende best practices voor e-mail (ongeldige, onvolledige of ontbrekende SPF/DKIM/DMARC-records, enz.)

13

Kwetsbaarheden die alleen van invloed zijn op gebruikers van verouderde of niet-gepatchte browsers [Minder dan 2 stabiele versies achter op de laatst uitgebrachte stabiele versie].

14

Openbaarmaking van softwareversies / Problemen met banneridentificatie / Beschrijvende foutmeldingen of headers (bijv. stacktraces, applicatie- of serverfouten).

15

Tabnabbing

16

Open omleiding - tenzij een extra beveiligingseffect kan worden aangetoond.

17

Beveiliging in de winkel of fysieke faciliteiten.

18

Applicaties van derden waar we gebruik van maken, maar waar we geen controle over hebben (bijv. een blog die wordt gehost op een externe dienst - tenzij we de blog zo hebben geconfigureerd dat onze gebieden binnen het bereik kwetsbaar zijn).

19

Spam (tenzij een specifieke kwetsbaarheid ertoe leidt dat het heel gemakkelijk is om span te versturen).

20

Beleid in strijd met implementaties - e-mailverificatie, wachtwoordlengte of hergebruik, enz.

21

Kwetsbaarheden in onze open source software (tenzij er een proof of concept (POF) is van hoe de specifieke kwetsbaarheid kan worden gebruikt op vanmoof.com of gerelateerde apps).

22

Kwetsbaarheden die toegang vereisen tot een reeds gecompromitteerd account (tenzij toegang tot een account andere accounts blootlegt).

4. Hoe kun je een kwetsbaarheid melden?

1

Als je een kwetsbaarheid ontdekt, laat het ons dan meteen weten.

2

Mail je bevindingen zo snel mogelijk naar security ('at'sign), vanmoof (full stop) com.

3

Vergeet niet om in de hoofdtekst van uw e-mail te vermelden hoe je het probleem hebt ontdekt, zodat we het kunnen reproduceren. Beschrijf het probleem en geef het IP-adres of de URL door.

4

Vermeld ook jouw contactgegevens, zoals een e-mailadres of telefoonnummer, voor het geval wij nog vragen hebben.

5. Safe Harbor

1

Alle activiteiten die worden uitgevoerd op een manier die in overeenstemming is met dit beleid, worden beschouwd als geautoriseerd gedrag en zijn voor ons geen reden om juridische stappen tegen je ondernemen. Als een derde partij juridische stappen tegen jou onderneemt in verband met activiteiten die onder dit beleid worden uitgevoerd, zullen we ervoor zorgen dat bekend wordt dat jouw activiteiten zijn uitgevoerd in overeenstemming met dit beleid. Bedankt voor je bijdrage aan het veilig houden van VanMoof en onze gebruikers!