Meld kwetsbaarheden

Heb je een zwakke plek ontdekt in onze systemen? Dan horen we dat graag. Met jouw hulp kunnen wij misbruik voorkomen en de veiligheid van onze diensten verbeteren.

Goed om te weten

Heb je een valse e-mail, sms of brief (phishing) ontvangen? Lees hier hoe je deze herkent en kunt melden:

Valse e-mail (phishing)

Hoe meld ik een kwetsbaarheid?

Beloning bij melden via HackerOne

Iedereen kan een kwetsbaarheid melden. Ook als je geen klant bij ons bent. Maak hiervoor gebruik van ons formulier op HackerOne.

Meld een kwetsbaarheid via HackerOne

We geven je via HackerOne een passende vergoeding als we kwetsbaarheden verhelpen dankzij jouw melding. Op de HackerOne pagina staan onze beloningsstructuren. Athora beslist of je voor een beloning in aanmerking komt en wat de hoogte van de vergoeding is. De vergoeding wordt niet uitgekeerd als:

  • Iemand anders dezelfde (of een vergelijkbare) kwetsbaarheid al heeft gemeld.
  • De kwetsbaarheid al bij ons bekend is.
  • Er sprake is van misbruik of schending van spelregels.

Anoniem melden

Je kunt een kwetsbaarheid ook anoniem melden (in het Nederlands of Engels) door een e-mail te sturen naar:

ResponsibleDisclosure@athora.nl

Geef in je e-mail genoeg informatie waarmee we de kwetsbaarheid kunnen reproduceren en verifiëren. Bijvoorbeeld een specifieke URL, een stappenplan of een "proof of concept". Houd er rekening mee dat we je bij een anonieme melding geen beloning kunnen geven.

Spelregels

Athora Netherlands stelt je melding zeer op prijs, maar wij vinden het ook belangrijk dat al onze klanten veilig en zonder onderbrekingen gebruik kunnen blijven maken van onze online diensten. Houd je daarom aan de onderstaande regels, handel te goeder trouw en vermijd onevenredige maatregelen.

Welke kwetsbaarheden kun je melden?

Je kunt problemen melden die te maken hebben met onze online dienstverlening, bijvoorbeeld:

  • Cross-Site scripting (XSS)
  • SQL-injectie
  • Cross Site Request Forgery (CSRF)
  • Remote Code Execution
  • Ongeautoriseerde toegang tot gegevens

Veroorzaak geen schade en verstoor onze dienstverlening niet wanneer je een kwetsbaarheid of beveiligingsprobleem onderzoekt

  • In geen geval mag dit leiden tot onderbreking van onze dienstverlening.
  • Gebruik tijdens het testen maximaal een gelijktijdige verbinding of thread.
  • Breng geen wijzigingen aan in onze systemen.
  • Gegevens uit onze systemen mogen niet worden gewijzigd of verwijderd

Verstoor andere gebruikers niet en houd hun gegevens veilig

  • Gebruik alleen je eigen accounts en contactgegevens of accounts en contactgegevens waarvoor je expliciete aantoonbare toestemming van de eigenaar hebt gekregen.
  • Voorkom privacyschending en vernietiging van gegevens.
  • Wees terughoudend bij het opvragen en kopiëren van gegevens. Vraag niet meer gegevens op dan noodzakelijk is om een kwetsbaarheid aan te tonen.
  • Geef nooit klant- of bedrijfsgegevens door aan anderen.
  • Voer geen acties uit die een andere gebruiker mogelijk opmerkt. Plaats bijvoorbeeld geen test op openbare fora, in de commentaren op een openbare pagina, via een DM naar een andere gebruiker, etc.
  • Zorg voor passende beveiliging van je eigen systemen met informatie over de kwetsbaarheid en eventuele testgegevens.

Sociale, fysieke en bruteforce testen zijn niet toegestaan

  • Alle vormen van Denial of Service (DoS), bruteforcing en enumeratie zijn niet toegestaan.
  • Social engineering (bijv. phishing, vishing, smishing) is niet toegestaan.
  • Doe geen aanvallen op onze fysieke beveiliging.

Maak geen misbruik

  • Gebruik kwetsbaarheden die je ontdekt alleen voor je eigen onderzoek en melding en niet voor andere doeleinden.
  • Maak minimaal gebruik van kwetsbaarheden. Doe alleen dat wat nodig is om de om de kwetsbaarheid vast te stellen.
  • Deel geen kwetsbaarheden met andere partijen dan Athora.
  • Communiceer met onze experts en geef ons de tijd om kwetsbaarheden op te lossen.
  • Implementeer geen achterdeuren en introduceer geen nieuwe aanvullende kwetsbaarheden.

Heb je per ongeluk één van deze regels geschonden? Bijvoorbeeld door het veroorzaken van een publicatie, een verstoring of andere schade, neem dan onmiddellijk contact met ons op:

ResponsibleDisclosure@athora.nl

Wat we doen met jouw melding

Onze beveiligingsexperts onderzoeken je melding. Wij streven ernaar om binnen drie werkdagen een eerste inhoudelijke reactie te sturen.

Jouw privacy

We delen je gegevens niet met anderen en gebruiken ze niet voor andere doeleinden tenzij we daartoe wettelijk worden verplicht, bijvoorbeeld bij vordering door justitie.