ITGOIT

Beveiligingslek melden

Wij doen er alles aan om onze systemen veilig te houden. Vind je nu toch een probleem in onze beveiliging? Meld het dan, want dan kunnen wij het meteen oplossen. Dit melden noemen we Responsible Disclosure.

 Wat je niet hoeft te melden: (Out of scope vulnerabilities)

  • Clickjacking on pages with no sensitive actions and without a documented series of clicks that can exploit a sensitive functionality
  • CSRF for non-significant actions
  • CORS misconfigurations when the Credentials header is not set
  • Missing HTTP security Headers that do not directly lead to a vulnerability, such as:
    • Content-Security-Policy
    • Strict Transport Security
    • X-Content-Type-Options
    • X-XSS-Protection
    • X-Frame-Options (unless there is a well-defined risk)
    • X-Download-Options
    • X-XSS-Protection
    • Feature/Permissions Policy
  • Missing best practices in SSL/TLS configuration
  • Missing best practices in Content Security Policy
  • Missing email best practices (Invalid, incomplete or missing SPF/DKIM/DMARC records, etc.)
  • Missing cookie flags on cookies that do not hold session or other sensitive information
  • Information Disclosure – default exposed config files with no sensitive data
  • Open redirect vulnerabilities that do not demonstrate additional security impact
  • Content spoofing and text injection issues without showing an attack vector or being able to modify HTML/CSS
  • Host header Injection with no demonstrable impact
  • Vulnerabilities reported shortly after their public release
  • Exposed Google maps API keys that cannot be misused due to implemented restrictions
  • Vulnerability reports from automated tools without validation
  • Denial of Service and Social Engineering attacks
  • Attacks requiring MITM or physical access to a user’s device

 

 Wat je van ons kunt verwachten:

  • Wij sturen je binnen 1 werkdag een mail, zodat je weet dat je bericht bij ons binnen is.

  • Wij sturen je binnen 5 werkdagen een mail met een inhoudelijke reactie en de datum waarop we het verwachten op te lossen. We lossen het zo snel mogelijk op, maar in ieder geval binnen 3 maanden.

  • Wij houden je op de hoogte van de voortgang.

  • Wij bepalen samen met jou of we hierover publiceren. We vermelden je naam alleen als jij dat wilt.

 

 itgoit vraagt jou vriendelijk:

  • Voldoende informatie aan te leveren om het probleem in kaart te brengen, zodat wij het probleem zo snel mogelijk kunnen adresseren. Het IP adres of de URL van het systeem en een beschrijving van jouw bevinding zijn vaak voldoende. Echter bij complexe problemen kan meer informatie noodzakelijk zijn.

  • Je contactgegevens achter te laten, zodat wij contact met je kunnen opnemen.

  • Je bevindingen zo snel mogelijk na ontdekking bij ons te melden.

  • Geen informatie over jouw bevindingen met iemand te delen, behalve met de door Ahold Delhaize aangewezen personen.

  • Zorgvuldig met de kennis van jouw bevindingen om te gaan en enkel te gebruiken om ons op de hoogte te brengen van hetgeen je hebt ontdekt.

Wall of Fame

ITGOIT

Facebook Instagram Youtube
Facebook Instagram Youtube