Responsible disclosure

Oh noes, je hebt een security issue gevonden? Geen paniek, rustig ademhalen, tel tot tien, en stuur ons je bevindingen!

Wij bouwen graag goed spul, zij het apps, websites, games of andere software. Maar nu kan het natuurlijk zijn dat we een steekje hebben laten vallen. Als je een lek of fout in een stukje Q-software vindt, dan horen wij dat graag! Het liefst voordat je dat aan de grote klok hangt. Dan kunnen wij het verhelpen, zodat er geen misbruik van wordt gemaakt.

Wil jij:

  • Je bevindingen mailen naar disclosure@q42.nl? Versleutel de bevindingen alsjeblieft met onze PGP key (link) om te voorkomen dat de informatie in verkeerde handen valt.
  • Het probleem niet misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen, of gegevens van derden bekijken, verwijderen of aanpassen?
  • Het probleem niet met anderen delen, totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek wissen?
  • Geen gebruik maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service of spam?
  • Voldoende informatie geven om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen? Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wij beloven:

  • Binnen drie werkdagen te reageren op je melding met onze beoordeling en een verwachte datum voor een oplossing.
  • Geen juridische stappen tegen je te ondernemen, zolang je je houdt aan de eerder genoemde afspraken.
  • Vertrouwelijk met je melding en jouw gegevens om te gaan. We zullen je persoonlijke gegevens niet zonder je toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. (Melden onder een pseudoniem mag.)
  • Wij houden je op de hoogte van de voortgang van het oplossen van het probleem.
  • In berichtgeving over het gemelde probleem zullen wij (als je dat wilt) je naam vermelden als ontdekker.
  • Als dank voor je hulp kunnen wij een beloning bieden voor de melding van een ons nog onbekend beveiligingsprobleem. De vorm van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding. Wie weet heb je wel zin om een keertje langs te komen om te babbelen. Kun je meteen een keertje van onze glijbaan.

Wij gaan natuurlijk rennen om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

Gebaseerd op: https://responsibledisclosure.nl/

-----BEGIN PGP PUBLIC KEY BLOCK-----

mQINBF2livEBEADps7IMzyw0jXl3/g/y3qK8zRlg062NwxDX/UcIQ9u5Jyf3CYJW
OSqOHXgYGJPJhzLho+qveBdALbakEdw+wpTEotP8yy/808RifZ96ANJlBFgCP/ok
FhWc2JZcX8PzR8D+LqIRnilfk4YiIadu9RiZQV7Uhx3Jw/Qwc5vEmfZaeNvrRzVn
P6HcDVe29c8fQMJTSBAvPZ/aLPryGNw3S77AxF0Hp9xFCuWVXwAAdHwomNFILA/D
XN3c8LCX+PnkvzcSXR8XPxruUAUh0ZeEjpGD/daOiDBOyd7qnNZowrJs7FfPIQ0c
DqySJIA9Qn2b2/WT6DrgAh2P/wReUTp7oIGlCjWfrEtK+L37sAaEiq3S1BbWJBpx
HcsDYMMNHklEicP4gyBiKCR6MTRoOdZlPg8Tuqi9jViBe+VHReF48Q/7vf+/Nwp7
CElX78JP6K8nV4EHf6B7RCqAy7uNSJmAgydq+L8X5EVym7CgUAsfbFznIHhfdZmt
I9VUAfqZr1l68/NDbO0aXfS7j/iGI1GHyeESePpLRZ8VOUxOLNhnTRQzGhWJH4zu
dy/2IGVGMNKNOFoUIggWhlsKOrYyDhTdQUgfeLLy2pcj4xZM5Hf1w64qjHq5ouyQ
jfkWc37vbgxpKDuulHwbONNfyUFfkaAO0QDeYIDw308eWAS9HzkA3PKN+QARAQAB
tCpSZXNwb25zaWJsZSBEaXNjbG9zdXJlIDxkaXNjbG9zdXJlQHE0Mi5ubD6JAlQE
EwEIAD4WIQTpWC42J8PwsmU1n4E+bIqq3zVufAUCXaWK8QIbAwUJEs/3gAULCQgH
AgYVCgkICwIEFgIDAQIeAQIXgAAKCRA+bIqq3zVufGM/EACYblolkroQDuksPrDR
LZQe8lQe2iWkIuilGz2QDhBmzHQh4189gh/V0wJzMJxcZhkT2hc/RbHruvqIWSsh
XtasRle6V5VMgc0OW2fYEsqjVrfVLunyiYHFMBLD22RoSVVgJaxRAvTzuxJ8/OiH
hNzb4AWdC6g0Fgj3ABiX4IhZQpKkaOb1kxX64wS28Dwg/jSTgDe3BKYx/QykEDCH
58BRznp7yK/sdCxCX8lHPwRwVa3SQoEgxZkGX5IWYvdYqGuNE6uku1y5fvJ0YHV3
7vXKdHXriEFZOnvybhMOa7jV4Ugvfv9I38XaCDc203cXZBBExqZJX19lvGVWgSpP
CYjbdd7xhMqwWzN0vRH9/2igf1NMaEziZ/L/kZrwR/zmMcPRdxA7DKLeDL7s2jGb
lVXpkoNOOfg6sZc6+vDQPuevGcvtXv8W63hrZT6KOx5bZBfEyEg2XW5tdcuTpsER
yD8xV/xQ8kd4zSVWfzfLWs0yKtX1Hr6Q3shbjw6st/spDCPFtnG6G4+j5rS2mcoS
bCl8DG5I5awt1hYkO4zzZHXUk8hGu4yeMGgzRpLaDu0P73rjR4Fg8zdKz4ZuPMlo
oIsV6ydGNivlTiUwgf706zJiYjMNwMmfeLxdQgq2UZ3DOvMv8a4CDzZcP1VSrT0M
yqLSWZmsDwnWgxAZReb8DuTOArkCDQRdpYrxARAAqgcva2fEMqgRItEzHJSmEA7j
89raeU87PgZTz3jVaS6+TQxMTNCEjm7e2vroDv/0wXfWbzWdFwFnD6Vzw5qSe7QR
g+fiNmu7Riodt7t+vb0gS9KBeIBOZKH1LPsY2KvzqR5qVvKRflxJ/QR5BEC9wtGv
sA5Ii+iu3oSKXho8G48h3aNioIlkP+GBXW3cREacXVuUeVlzpBNrFpFT2mk5WNTJ
7tDIRCXnbEwaiWBMgwjZbaEL+1jSqEq3OecKBNMvWl2GxzuFnBj+k8tBVQyMmzb9
gBzabpeF8BcycyoV9DcUXp8zSYYkbTB/fb0YSVbUzkK4rWZvL0g/0I1QrF/cFQ+H
D3oHSaiBZr9QxZzkV9CBkQOr53mC6KOEHohzRmwh+QhU8vPORayRHigE257vqt//
qiLOeoZ9QWd5BnAXiYMUx5SUhxUWhz9e7A2VusKdjgGJt3+Wv/+CtdndkeBCIE+W
7JW7W6OK7rkwkr5LojOxZGjur/47yeoSqdQx41g/GkrND9Pg6gmcrQ/aOjgSRD6K
NbxzAlmI+b6Yhlqo1NE7h2G7YEcWCve1CgZeoSxe8/MPbjEqJH1d1tEhy/Tndyry
Xs4PfrW753F9MkZA33dfhnEiElNwgk6EXAE6ZEVajYGwMscbx/Ev5VawoKexAbyg
YL7RZtPtWQpL8CX2MukAEQEAAYkCPAQYAQgAJhYhBOlYLjYnw/CyZTWfgT5siqrf
NW58BQJdpYrxAhsMBQkSz/eAAAoJED5siqrfNW58grMQAL1Jo6CiVqgdjboy9ke7
XuPATOi+19CA4ux6DK9ongk1Y55Wjcqaq2Dty6yLLq2YRLbtN0joUSNkYrdsciDf
vZKB9/I8I2a6MDTxvsFgnt5JH4xQTCzcJgn4WZbGferNIC2oc8FqfyGmOn8fGKAJ
a5ut62M3qZSlqihW8fXZGMvWe2rHUbt5bQB6XZ1pfIGwT/8VoMkZQP6x9EBf9eME
izhqm44801t3GkK1KaJlYxPQEo2sHZ5eLy+0ms6W17c3jmp/IFbH4EM86w7eUDwE
WfErytYxRmqeKQx+8aVijbtZhL1YrEvcrh/vxHyJRcrpEI2Fc+0pzcOSLNps8bcb
mZFgxfskIeOsFZguChSbu88YE/urkKJBZ843l13A8FUJQffr6rfMoXNXYo3MXtYq
cHZuvtE6BJNkL/rGn0gwYLbhtXhdQFKEtXw+8vJ8m/fZsxCip8TnNF8lKwOS0bl9
w2/BumBeIaOht1ZSAWYsa6n+mr2OeTIiyMpfJtBjN+azAOK0xuds5fFNBnIB5wu2
fKJw7aPHN3OPsg6hZnlsXRmqy3XdGeXto7LGKe5NYWNDEzDedRr4s7t7joPS3K7N
3DDSDHUivzNIPpJK/v4EpPWk6RdbLSyig7A2y3y3MLzuYtAidzK+gwxIDl2hSVbB
6CsUtTnjFxao65I51TdnnU6n
=ar5q
-----END PGP PUBLIC KEY BLOCK-----