Deze pagina is bedoeld voor beveiligingsonderzoekers die kwetsbaarheden willen melden aan het Security-team van BlueLemon24. Als je klant bent en hulp nodig hebt met beveiligingsvragen, wachtwoorden of accounttoegang, gebruik dan de officiële supportkanalen voor jouw product.
Dit beleid legt uit wat wij beschouwen als goed trouw beveiligingsonderzoek en wat je van ons kan verwachten wanneer je een kwetsbaarheid meldt.
Wat je van ons kan verwachten
Als je dit beleid volgt, zullen wij:
- Veilige haven bieden voor onderzoeksactiviteiten die in overeenstemming met dit beleid worden uitgevoerd.
- Jouw melding bevestigen en geven binnen 48 werkuren een eerste reactie.
- Samen met je werken om het probleem te begrijpen en te valideren.
- Bevestigde kwetsbaarheden tijdig herstellen, op basis van ernst en risico.
Veilige haven
Beveiligingsonderzoek dat onder dit beleid wordt uitgevoerd, wordt beschouwd als geautoriseerd en wettig en wordt gezien als een nuttige bijdrage aan het verbeteren van de beveiliging.
Je moet nog steeds voldoen aan alle toepasselijke wetten en regels.
Als je niet zeker weet of jouw onderzoek in overeenstemming is met dit beleid, neem dan eerst contact met ons op via onze Customer Service afdeling.
Basisregels
Om schade te voorkomen en het risico op verwarring met kwaadaardige activiteiten te verminderen, alsjeblieft:
Blijf binnen de scope. Test alleen systemen die onder dit beleid vallen en respecteren alles wat als buiten de scope wordt vermeld.
Gebruik alleen je eigen accounts en gegevens, tenzij je expliciete toestemming hebt van de eigenaar.
Vermijd verstoring. Verslechter de beschikbaarheid of prestaties van de service niet, en beschadig of vernietig geen data.
Minimaliseer data-toegang. Als je onbedoeld toegang krijgt tot data, kun je alleen toegang krijgen tot wat strikt noodzakelijk is om impact aan te tonen.
Stop als je gebruikersgegevens tegenkomt. Als je persoonlijke gegevens, gevoelige persoonlijke gegevens, betalingsgegevens of eigendomsinformatie tegenkomt, stop dan met testen en meld het onmiddellijk.
Geen Denial of Service (DoS/DDoS) testen!
Geen sociale engineering (phishing, vishing, smishing, imitatie, fysieke pogingen, enzovoort)!
Rapporteer direct na ontdekking.
Geen afpersing. Vraag geen vergoeding als voorwaarde voor openbaarmaking.
Gebruik alleen officiële kanalen om details met ons te delen.
Als er een conflict is tussen dit beleid en andere voorwaarden die van toepassing kunnen zijn, krijgt dit beleid voorrang voor het hier behandelde kwetsbaarheidsonderzoek.
Vertrouwelijkheid en publieke bekendmaking
Maak geen kwetsbaarheid openbaar, bespreek of publiceer geen details van een kwetsbaarheid totdat:
- Het is opgelost (of anderszins verzacht), en
- Je hebt expliciete schriftelijke toestemming ontvangen van BlueLemon24.
Hoe te melden
Stuur rapporten naar: responsible.disclosure@bluelemon24.nl
Rapporten worden getriggerd door een Security Analyst en geëscaleerd naar het juiste engineeringsteam. Neem zoveel mogelijk details toe zodat we snel kunnen reproduceren en valideren.
Aanbevolen inhoud:
- Een duidelijke beschrijving van het probleem en het getroffen product/dienst/URL
- Impact en realistisch aanvalsscenario
- Stappen om te reproduceren (of een werkend proof of concept)
- Alle relevante logs, screenshots of verzoek-/responsvoorbeelden (gevoelige gegevens spartelen)
Beloningen
BlueLemon24 biedt geen geldelijke beloningen voor verantwoorde rapportages.
We erkennen geldige rapporten in onze Security Hall of Fame wanneer ze:
- Een voorheen onbekende kwetsbaarheid beschrijven, en
- Geresulteerd hebben in een code- of configuratiewijziging.
Reikwijdte
Dit beleid is van toepassing op alle diensten, producten en webproperties van BlueLemon24.