Responsible disclosure beleid

Als je een lek of kwetsbaarheid ontdekt in onze systemen, dan zouden we dat graag willen weten. Als jij belooft het lek of de kwetsbaarheid niet te misbruiken, dan beloven wij dat we geen aangifte doen. Je krijgt naar keuze een appeltaart of slagroomtaart als bedankje en als we besluiten de gevonden kwetsbaarheid openbaar te maken, dan doen we dat in overleg.

Tweak besteedt veel aandacht aan security, en we realiseren ons dat geen enkel systeem 100% veilig kan zijn. Dus we weten dat het mogelijk is dat je kwetsbaarheden in onze systemen kunt vinden. Vanwege het belang dat we hechten aan de veiligheid voor onze gebruikers, horen we het graag als er een kwetsbaarheid in onze systemen gevonden is. We waarderen het ontzettend als klanten, hobbyisten of ervaren hackers ons willen helpen onze systemen goed veilig te houden.

Het responsible disclosure beleid bestaat uit een aantal afspraken waaraan Tweak en de vinder van de kwetsbaarheid zich moeten houden.

Meld het ons

Tweak:

  • onderzoekt elke melding en geven altijd reactie op een melding
  • reageert binnen een werkdag op een melding en behandelen de gegevens van de vinder vertrouwelijk
  • houdt, als inderdaad sprake is van een kwetsbaarheid, contact over een redelijke herstelperiode
  • brengt de kwetsbaarheid alleen in overleg met de vinder
  • geeft openbaar erkenning aan de vinder, indien de vinder dat wil
  • doet geen aangifte van computervredebreuk wanneer deze richtlijn gevolgd wordt
  • zal er alles aan doen om te voorkomen dat de vinder vervolgd zal worden
  • stuurt de vinder een taart om te bedanken

De vinder:

  • handelt te goeder trouw, is verantwoordelijk voor eigen handelen en belooft geen misbruik te maken van de gevonden kwetsbaarheid
  • zal niet op buitensporige manier handelen. Hiermee bedoelen we dat de vinder:
    • de kwetsbaarheid niet verder mag gebruiken dan strikt noodzakelijk is om de kwetsbaarheid aan te tonen
    • geen gegevens op het betreffende systeem zal kopiëren, aanpassen of verwijderen
    • geen veranderingen zal aanbrengen in het betreffende systeem
    • anderen geen toegang zal geven tot het betreffende systeem
  • meldt de gevonden kwetsbaarheid alleen aan Tweak en niet aan andere partijen
  • stuurt zo veel mogelijk informatie te sturen waarmee de kwetsbaarheid nagebootst kan worden. Dat kunnen zijn: logs, IP-adressen, URL‘s, timestamps, screenshots, etc.
  • mag anoniem melden. Voor vervolgcontact hebben we wel een e-mailadres nodig