Responsible Disclosure

De beveiliging van deze website is van groot belang voor CCV Group. Ondanks onze inzet om de beveiliging van onze informatiesystemen te versterken, kan op onze website desondanks sprake zijn van beveiligingsproblemen.

We waarderen de ondersteuning van onderzoekers en anderen binnen de beveiligingsgemeenschap om de beveiliging van onze website te verbeteren. We werken graag met u samen om onze klanten en onze website beter te beschermen.

Wat wij u vragen:

  • Stuur een e-mail naar security@ccv.eu waarin u uw bevindingen vermeldt en codeert met onze PGP-sleutel om te voorkomen dat de informatie in verkeerde handen valt.
  • Maak geen misbruik van het probleem door meer gegevens te downloaden dan nodig om het lek op te sporen of om gegevens van derden te bekijken, verwijderen of wijzigen.
  • Deel het probleem niet met anderen tot het is opgelost en verwijder alle vertrouwelijke gegevens die werden verkregen via het lek onmiddellijk nadat het probleem is opgelost.
  • Maak geen gebruik van aanvallen op onze fysieke veiligheid, social engineering, DDoS-aanvallen, spam of toepassingen van derden.
  • Verschaf voldoende informatie om het probleem te reproduceren zodat we het zo snel mogelijk kunnen oplossen. Meestal volstaan het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid, maar voor complexere kwetsbaarheden kan gedetailleerdere informatie vereist zijn.

Wat we beloven:

  • We reageren binnen 5 werkdagen op uw melding.
  • Wacht met het delen van het probleem totdat u bericht heeft ontvangen dat de kwetsbaarheid is opgelost.
  • Als u zich houdt aan de bovenstaande voorwaarden, zullen we geen juridische stappen ondernemen wat betreft de melding.
  • We behandelen uw melding vertrouwelijk en zullen uw persoonlijke informatie niet met derden delen zonder uw toestemming, tenzij dit we dit wettelijk gezien verplicht zijn. Het is mogelijk een melding te doen onder een pseudoniem.
  • We bieden een beloning voor elke melding die we als een kwetsbaarheid beschouwen. We stellen de grootte van de beloning vast op basis van de ernst van het lek en de kwaliteit van de melding. De minimale beloning is een voucher ter waarde van € 50.

Kwalificeren van kWetsbaarheden:

We hebben gekwalificeerde kwetsbaarheden als volgt gedefinieerd: kwetsbaarheden in webapplicaties zoals XSS, XXE, CSRF, SQLi, Local of Remote File Inclusion, authentication issues, remote code execution, en autorisatieproblemen en privilege escalation. Deze gekwalificeerde kwetsbaarheden moeten een impact hebben op de beveiliging van de webapplicatie en een verhoogd risico voor onze klanten inhouden. U dient de eerste onderzoeker te zijn die de kwetsbaarheid op een verantwoorde wijze meldt.

Elke indiening wordt beoordeeld van geval tot geval. Hieronder volgt een overzicht van problemen die niet als kwetsbaarheden in de beveiliging gelden:

  • Meldingen van oude softwareversies.
  • Ontbrekende best practices of output van geautomatiseerde scanhulpmiddelen zonder bewijs van exploiteerbaarheid;
  • Het gebruiken van componenten van bekende kwetsbaarheid zonder relevante POC van aanval;
  • Geautomatiseerde scans van hulpprogramma's. Voorbeeld: Web-, SSL / TLS-scan, Nmap-scanresultaten, enz .;
  • Self-XSS en XSS die alleen van invloed zijn op verouderde browsers;
  • Ontbrekende best practices of resultaten van geautomatiseerde scanningtools zonder bewijs van vatbaarheid voor misbruik.
  • UI en UX bugs en spelfouten.
  • Aan TLS/SSL gerelateerde problemen.   
  • SPF-, DMARC-, DKIM-configuraties.
  • Kwetsbaarheden als gevolg van browsers of plug-ins die niet meer geldig zijn.
  • Content-Security Policies (CSP).
  • Kwetsbaarheden van producten die aan het einde van de levenscyclus zitten.
  • Ontbreken van een secure flag op cookies.  
  • Opsomming van gebruikersnamen.
  • Kwetsbaarheden die afhankelijk zijn van de aanwezigheid van plug-ins zoals Flash.
  • Gebreken die gebruikers treffen van browsers en plug-ins die niet meer geldig zijn.
  • Ontbrekende Security headers zoals onder andere "content-type-options", "X-XSS-Protection".
  • Ontbrekende CAPTCHAs als beveiligingsmechanisme.
  • Problemen die te maken hebben met een kwaadwillig geïnstalleerde applicatie op het apparaat.
  • Kwetsbaarheden waarvoor een jailbroken apparaat nodig is.
  • Kwetsbaarheden waarvoor fysieke toegang tot een mobiel apparaat nodig is.
  • Gebruik van een bibliotheek waarvan bekend is dat deze een beveiligingsrisico inhoudt, zonder bewijs van bruikbaarheid.
  • Tap-jacking- en UI-redressing-aanvallen waarbij de gebruiker wordt misleid om op een UI-element te tikken.
  • Click / Tap-jacking en UI-redressing-aanvallen waarbij de gebruiker wordt misleid tot het aanraken van een UI-element;
  • Host header en banner grabbing problemen;
  • Denial of Service-aanvallen en Distributed Denial of Service-aanvallen;
  • Snelheidsbeperkende, brute force-aanval;
  • Login / logout / low-business impact CSRF;
  • Onbeperkte bestandsupload;
  • Sessiebeperking en sessietime-out;
  • Formule / CSV-injectie.

Platte tekst-icoonccv-pgpkey.txt