ArazonBeveiliging
Verantwoorde openbaarmaking
We nemen beveiliging serieus en waarderen het werk van beveiligingsonderzoekers die ons helpen onze systemen en gebruikers veilig te houden.
Bereik
Dit beleid is van toepassing op kwetsbaarheden in:
- arazon.io en alle subdomeinen
In aanmerking komende kwetsbaarheden
We horen graag over:
- Remote code execution
- SQL injection
- Cross-site scripting (XSS)
- Cross-site request forgery (CSRF)
- Authenticatie/autorisatie bypass
- Blootstelling van gevoelige gegevens
- Server-side request forgery (SSRF)
Buiten bereik
Het volgende komt niet in aanmerking:
- Denial of service-aanvallen
- Social engineering-aanvallen
- Fysieke aanvallen op Arazon-infrastructuur
- Kwetsbaarheden in diensten van derden
- Reeds bekende of eerder gemelde problemen
- Theoretische kwetsbaarheden zonder proof of concept
Rapportagerichtlijnen
Bij het melden van een kwetsbaarheid:
- Geef gedetailleerde stappen om het probleem te reproduceren
- Voeg proof-of-concept code toe indien van toepassing
- Beschrijf de potentiële impact
- Open of wijzig geen gegevens van andere gebruikers
- Voer geen destructieve tests uit
- Houd kwetsbaarheidsdetails vertrouwelijk totdat ze zijn opgelost
Onze verplichting
Wanneer u te goeder trouw een kwetsbaarheid meldt:
- Bevestigen we de ontvangst binnen 24 uur
- Verstrekken we een eerste beoordeling binnen 5 werkdagen
- Houden we u op de hoogte van onze voortgang
- Zullen we geen juridische stappen tegen u ondernemen
- Vermelden we u in onze beveiligingsvermelding (indien gewenst)