Beleid inzake openbaarmaking van kwetsbaarheden

Beveiliging is van het grootste belang voor ABAX. We verwelkomen feedback van beveiligingsonderzoekers en het publiek om de beveiliging van onze producten en diensten te verbeteren. Het management van ABAX waardeert onderzoek naar beveiligingslekken ten zeerste en we zetten ons in om beveiligingsproblemen grondig te onderzoeken en op te lossen.

Als je van mening bent dat je een kwetsbaarheid, privacy probleem, blootgestelde gegevens of andere beveiligingsproblemen in een van onze producten of diensten hebt ontdekt, horen we graag.

Doel van het document

Dit document definieert het proces voor het openbaar maken van mogelijke kwetsbaarheden met betrekking tot de producten en diensten van ABAX, en schetst de stappen voor het melden van kwetsbaarheden aan ons, wat wij van jou verwachten, wat je van ons kunt verwachten, en ten slotte waardering voor de mensen die hebben geholpen onze producten en diensten te beveiligen.

Als je van mening bent dat je een kwetsbaarheid in een van onze producten of diensten hebt gevonden, meld deze dan in overeenstemming met de richtlijnen die in dit document zijn uiteengezet.

We vragen je om geen kwetsbaarheden openbaar te maken totdat je op de hoogte bent gesteld dat de kwetsbaarheid is verholpen. Als je toestemming geeft, zullen we jouw inspanningen bij het vinden van de kwetsbaarheid erkennen in het gedeelte "Hall of fame" van dit document.

Doelgroep

Dit beleid is bedoeld voor elke beveiligingsonderzoeker, white hat hacker of iemand anders die van mening is een kwetsbaarheid te hebben gevonden in een van de producten of diensten van ABAX.

Reikwijdte van het beleid

Alle mogelijke kwetsbaarheden of beveiligingsproblemen met betrekking tot ABAX-producten of -diensten vallen binnen de reikwijdte van dit beleid. Maak geen kwetsbaarheden openbaar die gerelateerd zijn aan systemen die door derden worden beheerd of eigendom zijn van derden.

Basisregels

Onderzoekers/Ethische Hackers mogen niet:

• Onnodige hoeveelheden gegevens openen. Bijvoorbeeld, 2 of 3 records zijn voldoende om de meeste kwetsbaarheden aan te tonen (zoals een opsomming of kwetsbaarheid voor directe objectreferentie).

• De privacy van ABAX-gebruikers, personeel, contractanten, systemen etc. schenden. Bijvoorbeeld door gegevens die uit onze systemen zijn opgehaald te delen, te herdistribueren en/of niet correct te beveiligen.

• Kwetsbaarheden of bijbehorende details communiceren via methoden die niet in dit beleid zijn beschreven of met iemand anders dan Global IT.

• Gegevens in onze systemen/diensten die niet van jou zijn, wijzigen of gebruiken.

• Onze dienst(en) en/of systemen verstoren.

• Kwetsbaarheden in ABAX-systemen openbaar maken aan derden. Dit sluit de melding van een kwetsbaarheid aan derden aan wie de kwetsbaarheid direct relevant is, niet uit; bijvoorbeeld wanneer de gemelde kwetsbaarheid zich bevindt in een softwarebibliotheek of -framework – maar details van de specifieke kwetsbaarheid van ABAX mogen in dergelijke rapporten niet worden genoemd. Als je niet zeker bent over de status van een derde partij aan wie je een melding wilt sturen, stuur dan een e-mail naar [email protected] voor opheldering.

Onderzoekers/Ethische Hackers moeten:

• Alle opgehaalde gegevens worden veilig verwijderd zodra deze niet langer nodig zijn en uiterlijk 1 maand nadat de kwetsbaarheid is opgelost, afhankelijk van wat het eerst gebeurt.

• Hou je aan de regels. Dit omvat het volgen van dit beleid en alle andere relevante overeenkomsten.

• Meld elke kwetsbaarheid die je hebt ontdekt zo snel mogelijk, binnen 1 maand nadat de kwetsbaarheid is ontdekt.

• Gebruik alleen de officiële kanalen om kwetsbaarheidsinformatie met ons te bespreken.

• Voer alleen tests uit op systemen die binnen de reikwijdte vallen en respecteer systemen en activiteiten die buiten de reikwijdte vallen.

Als je in enig stadium niet zeker weet of de acties die je overweegt acceptabel zijn, neem dan contact met ons op.

Testmethoden:

Wij vragen je om geen ongeautoriseerde testmethoden te gebruiken. Deze methoden omvatten, maar zijn niet beperkt tot:

• Netwerk denial of service (DoS of DDoS) tests of andere tests die de toegang tot of schade aan een systeem of gegevens belemmeren

• Fysieke testen (bijv. toegang tot kantoor, open deuren, meeliften), social engineering (bijv. phishing, vishing), of enige andere niet-technische kwetsbaarheidstesten

Wettelijke aspecten

Deze controleprocedure is ontworpen om compatibel te zijn met algemeen gangbare goede praktijken bij goedbedoelde kwetsbaarheidsontdekkingen. Het geeft je geen toestemming om op enige wijze te handelen die inconsistent is met toepasselijke wetten of ABAX ertoe te brengen enige van zijn wettelijke verplichtingen te schenden.

Als je de in dit document uiteengezette richtlijnen volgt, zullen wij geen juridische stappen ondernemen of ondersteunen met betrekking tot jouw gemelde kwetsbaarheden. Als een derde partij juridische stappen tegen jou initieert en je hebt je aan dit beleid gehouden, zullen wij stappen ondernemen om bekend te maken dat jouw acties in overeenstemming met dit beleid zijn uitgevoerd.

Als je zorgen heeft of onzeker bent of jouw beveiligingsonderzoek in overeenstemming is met dit beleid, of anderszins feedback of suggesties wilt geven over deze controleprocedure, neem dan contact met ons op via [email protected] voordat je verder gaat. Deze controleprocedure zal zich in de loop van de tijd ontwikkelen en jouw inbreng zal worden gewaardeerd om ervoor te zorgen dat deze duidelijk, volledig en relevant blijft.

Hoe kwetsbaarheden te melden

Als je een probleem hebt ontdekt waarvan je denkt dat het een binnen de scope vallende beveiligingskwetsbaarheid is, stuur dan een e-mail naar [email protected], met de volgende informatie:

• het systeem of de dienst waarin de kwetsbaarheid bestaat.

• een korte beschrijving van de klasse (bijv. "XSS-kwetsbaarheid") van de kwetsbaarheid. Gelieve op dit stadium geen details op te nemen die reproductie van het probleem mogelijk zouden maken. Details zullen later worden opgevraagd, via versleutelde communicatie.

• de potentiële impact van exploitatie.

Rapporten moeten in duidelijke en eenvoudige bewoordingen worden opgesteld. En, indien mogelijk, in het Engels.

Wij zullen dan vragen dat melders waar mogelijk een goedaardig (d.w.z. niet-destructief) bewijs van exploitatie leveren. Dit helpt ervoor te zorgen dat het rapport snel en nauwkeurig kan worden beoordeeld, terwijl ook de kans op dubbele meldingen en/of kwaadwillende exploitatie voor sommige kwetsbaarheidsklassen wordt verminderd. Zorg ervoor dat u jouw bewijs van exploitatie niet in platte tekst via e-mail verzendt als de kwetsbaarheid nog steeds exploiteerbaar is. Zorg er ook voor dat alle bewijzen van exploitatie in overeenstemming zijn met onze richtlijnen (hierboven), als je twijfelt, stuur dan een e-mail naar [email protected] voor advies.

Lees dit document volledig door voordat je kwetsbaarheden meldt om ervoor te zorgen dat je de procedure begrijpt en hiermee in overeenstemming kunt handelen.

PGP-encryptie

Om te voorkomen dat kritieke informatie in verkeerde handen valt, vragen wij je, op verzoek, de specifieke informatie betreffende de kwetsbaarheid via versleutelde e-mail te verzenden. Wij zullen je vragen om een gedetailleerde beschrijving te maken van de stappen die nodig zijn om de kwetsbaarheid te reproduceren (proof of concept scripts of screenshots zijn nuttig).

Je kunt onze publieke encryptiesleutel hier vinden: www.abax.com/pgp-key.txt.

Wat je kunt verwachten van ABAX

Als reactie op jouw eerste e-mail naar [email protected] ontvang je een bevestigings-e-mail van het casebeheersysteem.

Na het eerste contact zal het interne beveiligingsteam de gemelde kwetsbaarheid beoordelen. Je kunt binnen 72 uur een reactie verwachten, met onze evaluatie van het rapport en bevestiging of verdere informatie vereist is. Eventuele verdere benodigde informatie zal worden gevraagd om via OpenPGP-encryptie te verzenden (onze publieke encryptiesleutel is geplaatst in het bovengenoemde veld)

Vanaf dit punt zullen de noodzakelijke herstelwerkzaamheden worden toegewezen aan de juiste IT-teams en/of leverancier(s). Prioriteit voor bugfixes en/of mitigaties zal worden toegewezen op basis van de ernst van de impact en de complexiteit van de exploitatie. Kwetsbaarheidsrapporten kunnen enige tijd in beslag nemen om te beoordelen en/of te verhelpen; je bent van harte welkom om te informeren naar de status van het proces, maar heb geduld met ons.

Ons beveiligingsteam zal je op de hoogte stellen wanneer de gemelde kwetsbaarheid is opgelost (of herstelwerkzaamheden zijn gepland) en zal je vragen te bevestigen dat de oplossing de kwetsbaarheid adequaat dekt. Wij bieden je de mogelijkheid om feedback te geven over het meldingsproces, evenals de oplossing van de kwetsbaarheid. Deze informatie zal strikt vertrouwelijk worden gebruikt om ons te helpen de manier te verbeteren waarop we meldingen afhandelen en/of systemen ontwikkelen en kwetsbaarheden oplossen.

Als je niet akkoord gaat met deze voorwaarden, stuur ons dan geen inzendingen, of neem anderszins niet deel aan dit programma.

Eregalerij

De eregalerij is voor alle mensen die hebben geholpen onze producten en diensten te beveiligen (gepubliceerd met hun toestemming).

Je kunt publieke erkenning ontvangen als je de eerste bent die de kwetsbaarheid rapporteert, de kwetsbaarheid een geldig beveiligingsprobleem is, en je deze richtlijnen hebt nageleefd.

Helaas is het vanwege interne beperkingen momenteel niet mogelijk voor ons om een betaald bug bounty-programma aan te bieden. Het management van ABAX wil echter graag onze oprechte waardering uitspreken aan degenen die de tijd en moeite nemen om beveiligingskwetsbaarheden volgens deze controleprocedure te onderzoeken en aan ons te rapporteren.

Bedankt voor je inzet.