Responsible disclosure
Inhoudsopgave
Heb je een mogelijke kwetsbaarheid ontdekt in een HEMA website of systeem? Lees dan hier hoe je deze kan melden via ons responsible disclosure proces.
responsible disclosure proces #
Ondanks dat wij bij HEMA veel moeite steken in het veilig houden van onze systemen, kan het altijd voorkomen dat een kwetsbaarheid niet is opgemerkt. Wanneer je een (potentiële) kwetsbaarheid aantreft die mogelijk tot problemen of zelfs het lekken van klantgegevens kan leiden, dan verzoeken wij je vriendelijk om dit bij ons te rapporteren. Op deze manier kunnen wij onze klanten en onze systemen beter beveiligen.
Wanneer je een kwetsbaarheid wil melden, vragen wij jou het volgende:
- Deel je bevindingen door het formulier op deze website in te vullen (binnenkort), als je screenshots of een formele write-up wil delen kan je deze uploaden in PDF-formaat.
- Maak geen misbruik van de kwetsbaarheid of het probleem dat je hebt gevonden. Download of verwijder bijvoorbeeld geen data en pas nooit gegevens van anderen aan.
- Maak het probleem niet bekend aan anderen totdat dit verholpen is. We verzoeken je ook om geen informatie te publiceren totdat dit door ons gelezen en geverifieerd is, op deze manier kunnen wij helpen voorkomen dat er per ongeluk gevoelige informatie vrijgegeven wordt.
- Zorg voor accurate informatie in je rapportage, inclusief: Details van de bevinding, risicoclassificatie, stappen om te reproduceren en mogelijke oplossing/best-practices.
- Ga niet onnodig berichten sturen en adresseer geen groepen mensen met bijvoorbeeld verzoeken om updates of het vragen om beloningen.
- Na sluiten van de bevinding, dien je alle gevoelige information welke verkregen is tijdens het testen te verwijderen.
Wanneer je dit responsible disclosure proces volgt, beloven wij om:
- Je rapportage te analyseren en uiterlijk binnen vijf werkdagen te reageren.
- Wij zullen geen juridische stappen ondernemen wanneer je het disclosure proces volgt.
- Wij zullen je rapport met strikte geheimhouding behandelen en zullen je persoonlijke gegevens nooit met een derde partij delen zonder jouw toestemming.
- We zullen je op de hoogte houden van de voortgang van het verhelpen van het probleem.
- Indien gewenst zullen wij je naam/handle vermelden op onze dankbetuigingen pagina, dit is optioneel en alleen na goedkeuring van jou.
- Als dankbetuiging bieden wij voor elk geldig rapport van een onbekende kwetsbaarheid een beloning. Betaling zal geschieden nadat het probleem is verholpen. De hoogte van de beloning is onder anderen afhankelijk van de impact voor HEMA en de compleetheid van het rapport. De uiteindelijke hoogte zal worden bepaald door HEMA. Deze beloning is geheel naar gelieve van HEMA, hierover zal niet worden onderhandeld.
- Na het verhelpen van de kwetsbaarheid zijn wij bereid om je write-up/blog/video te verifiëren voordat je deze publiceert.
beloningen #
Afhankelijk van de ernst van de geïdentifeerde kwetsbaarheid zullen wij een beloning aanbieden. Deze beloningen variëren van een heerlijke HEMA taart tot HEMA gift cards met een waarde van €100,- tot €250,-.
definitie van een kwetsbaarheid #
HEMA beschouwt een beveiligingskwetsbaarheid een kwetsbaarheid in onze websites of infrastructuur welke confidentialiteit, integriteit en/of beschikbaarheid van deze systemen aantast. Omdat dit een brede definitie is begrijpen wij dat dit vragen kan oproepen over wat nou wel en niet gezien is als een kwetsbaarheid voor HEMA. Om hier wat helderheid in te scheppen enkele voorbeelden welke niet beschouwd worden als kwetsbaarheden:
- Auto-completion in- of uitgeschakeld op formulieren.
- Missende cookie attributen op niet-kritieke cookies, bijvoorbeeld missende HTTP-only flags op analytics cookies.
- Aanwezigheid of afwezigheid van HTTP-headers, zoals: X-Frame-Options, CSP, no-sniff, etc. Tenzij dit onderdeel is van een aanbeveling op een andere kwetsbaarheid.
- DNS dangling and subdomain take-over.
- E-mailbeveiliging mechanismen zoals DKIM, DMARC and SPF.
- SSL/TLS bevindingen met betrekking tot verlopen of ongeldige certificaten.
- Bepaalde laag-risico kwetsbaarheden, of kwetsbaarheden die al bekend zijn. Deze zijn op zichzelf wel kwetsbaarheden, maar worden al verholpen door HEMA of zijn een geaccepteerd risico.
- Kwetsbaarheden van hetzelfde type, welke los gerapporteerd worden. Bijvoorbeeld XSS in meerdere parameters of unvalidated redirects op verschillende locaties. Deze worden gezien als éénzelfde kwetsbaarheid.
De lijst hieronder geeft voorbeelden van dingen die wij wel als beveiligingskwetsbaarheid beschouwen:
- Ongeautoriseerd toegang tot klantgegevens, inclusief maar niet beperkt tot namen, orderinformatie en verdere persoonlijke gegevens.
- Remote Code Execution (RCE).
- Server-Side Request Forgery (SSRF).
- Cross-site Scripting (XSS).
- Cross-site Request Forgery (CSRF).
- Injection aanvallen, zoals SQL Injection (SQLi).
- XML External Entity Attacks (XXE).
- Access Control kwetsbaarheden (Insecure Direct Object Reference kwetsbaarheden, etc.).
- Path/Directory traversal kwetsbaarheden.
Wanneer je twijfelt, voel je dan vrij om een (potentiële) kwetsbaarheid aan ons team te rapporteren.
kwetsbaarheid rapporteren #
Wanneer je iets hebt gevonden waarvan je denkt dat wij dit als kwetsbaarheid beschouwen, of wanneer je iets anders onder onze aandacht wil brengen vragen wij je dit te doen door middel van formulier onderaan deze pagina ‘Report vulnerability’ (hiervoor is JavaScript noodzakelijk).
Alternatief kan je ons via e-mail benaderen