Beleid inzake Openbaarmaking van Kwetsbaarheden

Veiligheid is van het grootste belang voor ABAX. We verwelkomen feedback van beveiligingsonderzoekers en het publiek, om de beveiliging van onze producten en diensten te verbeteren. Het management van ABAX waardeert onderzoek naar beveiligingslekken ten zeerste, en we zijn toegewijd aan het grondig onderzoeken en oplossen van beveiligingsproblemen.

Als u denkt dat u een kwetsbaarheid, privacyprobleem, blootgestelde gegevens of andere beveiligingsproblemen in een van onze producten of diensten hebt ontdekt, dan horen we graag van u.

Doel van het document

Dit document definieert het proces voor het openbaar maken van mogelijke kwetsbaarheden met betrekking tot de producten en diensten van ABAX, en schetst de stappen voor het melden van kwetsbaarheden aan ons, wat wij van u verwachten, wat u van ons kunt verwachten, en ten slotte de waardering voor de mensen die hebben geholpen onze producten en diensten te beveiligen.

Als u denkt dat u een kwetsbaarheid in een van onze producten of diensten hebt gevonden, meld dit dan in overeenstemming met de richtlijnen die in dit document zijn uiteengezet.

We vragen u om geen kwetsbaarheden openbaar te maken totdat u op de hoogte bent gebracht dat de kwetsbaarheid is verholpen. Als u toestemming geeft, zullen wij uw inspanningen bij het vinden van de kwetsbaarheid erkennen in het gedeelte "Eregalerij" van dit document.

Doelgroep

Dit beleid is bedoeld voor elke beveiligingsonderzoeker, ethische hacker of iemand anders die denkt een kwetsbaarheid te hebben gevonden in een van de producten of diensten van ABAX.

Reikwijdte van het beleid

Alle mogelijke kwetsbaarheden of beveiligingsproblemen met betrekking tot ABAX-producten of -diensten vallen binnen de reikwijdte van dit beleid. Maak geen kwetsbaarheden bekend die betrekking hebben op systemen die worden beheerd of eigendom zijn van derden.

Basisregels

Onderzoekers/ethische hackers mogen het volgende niet doen:

• Toegang krijgen tot onnodige hoeveelheden gegevens. Bijvoorbeeld, 2 of 3 records is voldoende om de meeste kwetsbaarheden aan te tonen (zoals een opsommings- of directe objectreferentie-kwetsbaarheid).

• De privacy van ABAX-gebruikers, personeel, aannemers, systemen etc. schenden. Bijvoorbeeld door gegevens die uit onze systemen zijn opgehaald, te delen, te herdistribueren en/of niet correct te beveiligen.

• Kwetsbaarheden of gerelateerde details communiceren via methoden die niet in dit beleid worden beschreven, of met iemand anders dan Global IT.

• Gegevens in onze systemen/diensten wijzigen of gebruiken die niet van u zijn.

• Onze dienst(en) en/of systemen verstoren.

• Kwetsbaarheden in ABAX-systemen openbaar maken aan derden. Dit verhindert niet de melding van een kwetsbaarheid aan derden voor wie de kwetsbaarheid direct relevant is, bijvoorbeeld wanneer de gemelde kwetsbaarheid zich bevindt in een softwarebibliotheek of -framework – maar details van de specifieke kwetsbaarheid van ABAX mogen in dergelijke rapporten niet worden vermeld. Als u twijfelt over de status van een derde partij aan wie u een melding wilt sturen, stuur dan een e-mail naar [email protected] voor opheldering.

Onderzoekers/ethische hackers moeten het volgende doen:

• Alle opgehaalde gegevens worden veilig verwijderd zodra ze niet langer nodig zijn en uiterlijk 1 maand nadat de kwetsbaarheid is opgelost, afhankelijk van wat het eerst gebeurt.

• Speel volgens de regels. Dit omvat het volgen van dit beleid en alle andere relevante overeenkomsten.

• Meld elke kwetsbaarheid die u hebt ontdekt onmiddellijk, binnen 1 maand na de ontdekking van de kwetsbaarheid.

• Gebruik alleen de officiële kanalen om kwetsbaarheidsinformatie met ons te bespreken.

• Voer testen alleen uit op systemen die binnen de scope vallen, en respecteer systemen en activiteiten die buiten de scope vallen.

Als u op enig moment twijfelt of de acties die u overweegt te ondernemen acceptabel zijn, neem dan contact met ons op.

Testmethoden:

We vragen u zich te onthouden van het gebruik van ongeoorloofde testmethoden. Deze methoden omvatten, maar zijn niet beperkt tot:

• Denial of service (DoS of DDoS) netwerktests of andere tests die de toegang tot of de beschadiging van een systeem of gegevens belemmeren

• Fysieke testen (bv. toegang tot kantoor, open deuren, meeliften), social engineering (bv. phishing, vishing), of elke andere niet-technische kwetsbaarheidstesting

Wettelijke aspecten

Deze controleprocedure is ontworpen om compatibel te zijn met gangbare goede praktijken bij het ontdekken van kwetsbaarheden met goede bedoelingen. Het geeft u geen toestemming om te handelen op een manier die onverenigbaar is met toepasselijke wetten of die ertoe leidt dat ABAX een van zijn wettelijke verplichtingen schendt.

Als u de richtlijnen in dit document volgt, zullen wij geen juridische stappen ondernemen of ondersteunen met betrekking tot uw gemelde kwetsbaarheden. Als een derde partij juridische stappen tegen u initieert en u hebt voldaan aan dit beleid, zullen wij stappen ondernemen om bekend te maken dat uw acties in overeenstemming waren met dit beleid.

Als u bezorgd bent of niet zeker weet of uw beveiligingsonderzoek in overeenstemming is met dit beleid, of anderszins feedback of suggesties wilt geven over deze controleprocedure, neem dan contact met ons op via [email protected] voordat u verder gaat. Deze controleprocedure zal in de loop van de tijd evolueren en uw input zal worden gewaardeerd om ervoor te zorgen dat deze duidelijk, volledig en relevant blijft.

Hoe kwetsbaarheden te melden

Als u een probleem hebt ontdekt dat volgens u een binnen de scope vallende beveiligingskwetsbaarheid is, stuur dan een e-mail naar [email protected], met de volgende informatie:

• het systeem of de dienst waarin de kwetsbaarheid bestaat.

• een korte beschrijving van de klasse (bv. "XSS-kwetsbaarheid") van de kwetsbaarheid. Gelieve op dit stadium geen details op te nemen die reproductie van het probleem mogelijk zouden maken. Details zullen later, via versleutelde communicatie, worden opgevraagd.

• de potentiële impact van exploitatie.

Rapporten moeten in duidelijke en eenvoudige bewoordingen zijn geschreven. En, indien mogelijk, in het Engels.

Wij zullen dan vragen dat melders waar mogelijk een goedaardig (d.w.z. niet-destructief) bewijs van exploitatie leveren. Dit helpt ervoor te zorgen dat het rapport snel en nauwkeurig kan worden beoordeeld, terwijl ook de kans op dubbele meldingen en/of kwaadwillige exploitatie voor sommige kwetsbaarheidsklassen wordt verminderd. Zorg ervoor dat u uw bewijs van exploitatie niet in platte tekst via e-mail verzendt als de kwetsbaarheid nog steeds exploiteerbaar is. Zorg er ook voor dat alle bewijzen van exploits in overeenstemming zijn met onze richtlijnen (hierboven); bij twijfel kunt u contact opnemen met [email protected] voor advies.

Lees dit document volledig door voordat u kwetsbaarheden meldt, om ervoor te zorgen dat u de procedure begrijpt en hieraan kunt voldoen.

PGP-versleuteling

Om te voorkomen dat kritieke informatie in verkeerde handen valt, vragen wij u, op verzoek, de specifieke informatie over de kwetsbaarheid via versleutelde e-mail te sturen. We zullen u vragen om een gedetailleerde beschrijving te maken van de stappen die nodig zijn om de kwetsbaarheid te reproduceren (proof of concept scripts of screenshots zijn nuttig).

U kunt onze publieke versleutelingssleutel hier vinden www.abax.com/pgp-key.txt.

Wat u kunt verwachten van ABAX

Als antwoord op uw eerste e-mail naar [email protected] ontvangt u een ontvangstbevestiging van het zaakbeheersysteem.

Na het eerste contact zal het interne beveiligingsteam werken aan het prioriteren van de gemelde kwetsbaarheid. U kunt binnen 72 uur een reactie verwachten, met onze evaluatie van het rapport en een bevestiging of verdere informatie nodig is. Eventuele aanvullende informatie zal worden opgevraagd en verzonden via OpenPGP-versleuteling (onze publieke versleutelingssleutel staat vermeld in het bovengenoemde veld)

Vanaf dit moment zullen de nodige herstelwerkzaamheden worden toegewezen aan de juiste IT-teams en/of leverancier(s). De prioriteit voor bugfixes en/of mitigaties wordt toegewezen op basis van de ernst van de impact en de complexiteit van de exploitatie. Kwetsbaarheidsrapporten kunnen enige tijd in beslag nemen om te beoordelen en/of te herstellen; u bent welkom om te informeren naar de status van het proces, maar heb alstublieft geduld met ons.

Ons beveiligingsteam zal u op de hoogte stellen wanneer de gemelde kwetsbaarheid is opgelost (of herstelwerkzaamheden zijn gepland) en zal u vragen te bevestigen dat de oplossing de kwetsbaarheid adequaat dekt. We bieden u de mogelijkheid om ons feedback te geven over het meldingsproces, evenals de oplossing van de kwetsbaarheid. Deze informatie zal strikt vertrouwelijk worden gebruikt om ons te helpen de manier te verbeteren waarop we meldingen behandelen en/of systemen ontwikkelen en kwetsbaarheden oplossen.

Als u niet akkoord gaat met deze voorwaarden, stuur ons dan geen inzendingen en neem anderszins niet deel aan dit programma.

Eregalerij

De eregalerij is waar alle mensen worden vermeld die hebben geholpen onze producten en diensten te beveiligen (gepubliceerd met hun toestemming).

U kunt openbare erkenning ontvangen als u de eerste bent die de kwetsbaarheid meldt, de kwetsbaarheid een geldig beveiligingsprobleem is en u aan deze richtlijnen hebt voldaan.

Helaas is het vanwege interne beperkingen momenteel niet mogelijk voor ons om een betaald bug bounty-programma aan te bieden. Het management van ABAX wil echter graag onze oprechte waardering uitspreken aan degenen die de tijd en moeite nemen om beveiligingskwetsbaarheden bij ons te onderzoeken en te melden volgens deze controleprocedure.

Bedankt voor uw inspanning.