Responsible Disclosure

Wij doen ons best om onze systemen veilig te houden. Toch kunnen kwetsbaarheden voorkomen. Meldingen die ons helpen de beveiliging te verbeteren, worden zeer gewaardeerd.

Meldingen moeten plaatsvinden zonder schade en zonder misbruik van systemen.

 

Wij vragen onderzoekers het volgende te doen:

2.1 Meldpunt

Dien uw melding in via het officiële kanaal: info@loqit.nl

(Indien gewenst kan ook een PGP-sleutel worden aangeleverd voor versleutelde communicatie.)

2.2 Inhoud van de melding

Geef voldoende informatie zodat wij het probleem kunnen reproduceren:

beschrijving van de kwetsbaarheid

IP-adres, URL of endpoint waar het probleem is gevonden

stappen om het probleem na te bootsen

gebruikte tools (indien relevant)

de impact van de kwetsbaarheid

contactgegevens voor opvolging (mag anoniem)

2.3 Wat u niet mag doen

Om schade te voorkomen verzoeken wij onderzoekers nadrukkelijk om:

geen gegevens te wijzigen, verwijderen of downloaden

(alleen minimale data die nodig is om de kwetsbaarheid aan te tonen)

geen gebruik te maken van social engineering

geen ddos-, brute-force- of spam-aanvallen uit te voeren

geen toegang te proberen tot andere accounts of systemen

geen fysieke beveiliging aan te vallen

geen productiegegevens te manipuleren of kopiëren

geen automatisering toe te passen die verstoringen kan veroorzaken

Wanneer u zich aan deze voorwaarden houdt, ziet LoQit u als ethische onderzoeker en niet als aanvaller.

3.1 Wij reageren tijdig

Binnen 3 werkdagen ontvangt u bevestiging van uw melding.

Wij geven een inschatting van de ernst en een verwachte oplostijd.

3.2 Geen juridische stappen

Als u zich aan de regels van dit beleid houdt, zullen wij geen aangifte doen of juridische acties ondernemen.

3.3 Vertrouwelijke behandeling

Uw melding wordt vertrouwelijk behandeld.

Persoonsgegevens worden niet gedeeld zonder uw toestemming.

3.4 Terugkoppeling

U wordt op de hoogte gehouden van de voortgang tot de kwetsbaarheid is opgelost.