Coördinated Vulnerability Disclosure

Je kan kwetsbaarheden in onze diensten melden. Voorbeelden zijn:

• Cross-Site Scripting (XSS) kwetsbaarheden.
• SQL injectie kwetsbaarheden.
• Zwakheden in inrichting beveiligde verbinding.
• Zwakheden in (mobiele) applicaties.

Deze Coordinated Vulnerability Disclosure (CVD) is niet bedoeld voor het melden van klachten. Ook is deze CVD niet bedoeld voor het melden van:

• Websites of diensten die niet beschikbaar zijn.
• Niet of incorrect werkende functies van websites of diensten.
• Fraude.
• Spam of phishing e-mails.
• Kwetsbaarheden zonder voldoende informatie.

• Meld de kwetsbaarheid zo snel mogelijk via het formulier onderaan deze pagina of via [email protected]. We ondersteunen versleutelde e-mails met PGP. De publieke sleutel kan worden gedownload op https://gomonta.com/pgp.txt
• Geef voldoende informatie zodat wij het probleem kunnen reproduceren. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn. Beschrijf ook de mogelijke impact van de kwetsbaarheid.
• Exploiteer de kwetsbaarheid voor zover nodig alleen om de aanwezigheid ervan te bevestigen. Doe er alles aan om schending van privacy, aantasting van de gebruikerservaring, verstoring van productiesystemen en vernietiging of manipulatie van gegevens te voorkomen.
• Maak geen misbruik van de kwetsbaarheid door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen, of door gegevens van derden te bekijken, verwijderen of aan te passen.
• Geef ons een redelijke tijd om de kwetsbaarheid op te lossen. Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
• Verwijder alle vertrouwelijke gegevens die je hebt verkregen direct na het melden.

• Wij reageren binnen 10 werkdagen op je melding met onze beoordeling en een verwachte datum voor een oplossing.
• We behandelen je melding vertrouwelijk en zullen je persoonsgegevens niet zonder toestemming delen met derden, tenzij wettelijk verplicht.
• We houden je op de hoogte van de voortgang bij het oplossen van het probleem.
• We bieden, als dank voor je hulp, mogelijk een beloning aan, afhankelijk van de ernst van de kwetsbaarheid en de kwaliteit van de melding. Zie daarvoor de voorwaarden van het beloningsprogramma.
• We proberen er samen met jou voor te zorgen dat openbaarmaking van de kwetsbaarheid in goed overleg gebeurt.

Onder dit beleid vallen de volgende systemen en applicaties van Monta:

• Alle publieke Monta-domeinen (zoals Monta.nl) en subdomeinen.
• MontaWMS.
• Monta-apps en mobiele applicaties die officieel door Monta zijn uitgegeven.

• Systemen van klanten, partners of leveranciers.
• Productie omgevingen waar expliciet geen toestemming voor is gegeven.
• Testen die kunnen leiden tot verstoring van onze processen, zoals DDoS-aanvallen of brute-force pogingen.
• Fysieke tests (zoals toegang tot gebouwen), social engineering of andere niet-technische testen.

• Monta bepaalt of een beloning van toepassing is en welke beloning aangeboden wordt. Wij doen dit op basis van het risico van de kwetsbaarheid. Het uiteindelijke risico wordt door Monta vastgesteld. Om in aanmerking te komen moet een melding terecht en nog niet eerder gemeld zijn.
  
  Een beloning kan bestaan uit:
  • Een benoeming in de Hall of Fame, die op deze pagina en in onze security.txt wordt genoemd.
    (Uiteraard doen wij dit na goedkeuring van de melder.)
  • Een koffiemok
  • Een T-shirt
  • Cadeaubonnen tot een maximumbedrag van 250 euro
    
• Beloningen worden niet aangeboden wanneer de regels van dit beleid niet gevolgd worden.
• Wanneer de melding geen kwetsbaarheid betreft of een laag risico vormt, wordt er geen beloning aangeboden. Zie de uitzonderingen van het beloningsprogramma met voorbeelden van kwetsbaarheden waarvoor geen beloning wordt gegeven.
• Bij meerdere meldingen over een specifieke kwetsbaarheid, wordt de beloning toegekend aan de eerste persoon die deze kwetsbaarheid meldt. Monta stelt vast of er sprake is van dubbele meldingen en deelt hierover geen inhoudelijke informatie.
• Een toegekende beloning wordt slechts aan één persoon vertrekt.
• Toegekende beloningen uit het verleden bieden geen garantie voor aangeboden beloningen in de toekomst.
• Anonieme meldingen zijn uitgesloten van deelname aan het beloningsprogramma.

Monta kan, indien het gaat om een kwetsbaarheid met een laag of geaccepteerd risico, besluiten een melding niet te belonen. Hieronder staan enkele voorbeelden van dergelijke kwetsbaarheden. Deze lijst is niet volledig.

• HTTP 404-codes of andere niet HTTP 200-codes
• Toevoegen van platte tekst in 404-pagina’s
• Versiebanners op publieke services
• Publiek toegankelijke bestanden en mappen met niet-gevoelige informatie
• Clickjacking op pagina’s zonder inlogfunctie
• Cross-site request forgery (CSRF) op formulieren die anoniem toegankelijk zijn
• Ontbreken van ‘secure’ / ‘HTTP Only’ vlaggen op niet-gevoelige cookies
• Gebruik van de HTTP OPTIONS Method en TRACE Method
• Host Header Injection
• Ontbreken van SPF, DKIM en DMARC records
• Ontbreken van DNSSEC
• Ontbrekende of incorrect toegepaste HTTP Security Headers, zoals:
  • Strict-Transport-Security (HSTS)
  • HTTP Public Key Pinning (HPKP)
  • Content-Security-Policy (CSP)
  • X-Content-Type-Options
  • X-Frame-Options
  • X-XSS-Protection

Vragen over dit beleid kan je sturen naar [email protected]. We nodigen je ook uit om contact met ons op te nemen als je suggesties hebt om dit beleid te verbeteren.