Beleid voor het melden van kwetsbaarheden | OneSuite

Meld kwetsbaarheden in OneSuite-systemen

Inleiding

Bij OneSuite heeft informatiebeveiliging de hoogste prioriteit en wij zetten ons in voor de bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van onze systemen en gegevens. Dit beleid biedt beveiligingsonderzoekers duidelijke richtlijnen voor het uitvoeren van kwetsbaarheidsonderzoek en beschrijft hoe kwetsbaarheden op verantwoorde wijze aan ons kunnen worden gemeld.

Dit document specificeert welke systemen en soorten onderzoek onder dit beleid vallen, hoe kwetsbaarheidsrapporten moeten worden ingediend en welke termijnen wij voorstellen voor openbare bekendmaking.

Wij moedigen beveiligingsonderzoekers aan kwetsbaarheden te melden zoals beschreven in dit beleid. Uw inspanningen helpen ons potentiële problemen aan te pakken en de veiligheid van het OneSuite-ecosysteem te waarborgen.

Autorisatie

Als u te goeder trouw handelt om dit beleid na te leven, beschouwt OneSuite uw onderzoek als geautoriseerd. Wij zullen met u samenwerken om het probleem snel te begrijpen en op te lossen, en wij zullen geen juridische stappen aanbevelen of ondernemen in verband met uw onderzoek.

Mocht een derde partij juridische stappen tegen u ondernemen voor activiteiten die in overeenstemming met dit beleid zijn uitgevoerd, dan zal OneSuite deze autorisatie bekendmaken.

Richtlijnen

Onder dit beleid verwijst "onderzoek" naar activiteiten waarbij u:

  • Ons zo snel mogelijk op de hoogte stelt nadat u een daadwerkelijk of potentieel beveiligingsprobleem heeft ontdekt.
  • Analyses uitsluitend binnen het gedefinieerde toepassingsgebied uitvoert.
  • Privacyschendingen, verslechtering van de gebruikerservaring, verstoring van productiesystemen en vernietiging of manipulatie van gegevens vermijdt.
  • Exploits uitsluitend gebruikt voor zover nodig om het bestaan van een kwetsbaarheid te bevestigen. Gebruik exploits niet om gegevens te compromitteren of te exfiltreren, opdrachtregeltoegang te verkrijgen of naar andere systemen over te schakelen.
  • Ons een redelijke termijn geeft om het probleem op te lossen voordat u het openbaar maakt.
  • Het indienen van een groot aantal rapporten van lage kwaliteit vermijdt.

Zodra u heeft vastgesteld dat een kwetsbaarheid bestaat, of gevoelige gegevens tegenkomt (waaronder persoonsgegevens, financiële gegevens, bedrijfseigen informatie of handelsgeheimen van enige partij), moet u uw test stopzetten, ons onmiddellijk op de hoogte stellen en deze gegevens aan niemand anders bekendmaken.

Toepassingsgebied

Dit beleid is van toepassing op de volgende systemen en diensten:

  • *.onesuite.io

Kwesties buiten het toepassingsgebied

De volgende kwesties worden beschouwd als buiten het toepassingsgebied van dit beleid:

  • Testen van activa van OneSuite-klanten.
  • Modelhallucinaties.
  • Problemen met contentmoderatie of werving.
  • Beveiligingspraktijken die door andere maatregelen worden ondervangen (bijv. ontbrekende beveiligingsheaders).
  • Social engineering, phishing en fysieke aanvallen.
  • Kwesties zoals ontbrekende cookievlaggen, CSRF met geringe impact (bijv. inlog-/uitlog-CSRF), content spoofing of stack traces.
  • Kwetsbaarheden zonder aantoonbare beveiligingsimpact.
  • DOS/DDOS-aanvallen.
  • Host header injection zonder impact.
  • Scanneruitvoer, serverfoutmeldingen (tenzij deze kritieke informatie onthullen).
  • Rapporten over verouderde browsers of niet-kritieke fouten.

Alle diensten die niet uitdrukkelijk zijn vermeld in het bovenstaande gedeelte "Toepassingsgebied", zoals verbonden diensten, zijn uitgesloten van het toepassingsgebied en zijn niet geautoriseerd voor testen. Daarnaast vallen kwetsbaarheden die worden gevonden in systemen van onze leveranciers buiten het toepassingsgebied van dit beleid en dienen rechtstreeks aan de leverancier te worden gemeld in overeenstemming met hun bekendmakingsbeleid (indien beschikbaar). Als u niet zeker weet of een systeem binnen het toepassingsgebied valt, neem dan contact met ons op via [email protected] voordat u met uw onderzoek begint.

Erkenning

Hoewel OneSuite momenteel geen financiële beloningen aanbiedt, waarderen wij uw bijdragen. Als blijk van onze waardering zullen wij uw hulp erkennen op onze pagina voor erkenningen van beveiligingsmeldingen, tenzij u de voorkeur geeft aan anonimiteit. Wij werken aan de implementatie van een bug bounty-programma om in de toekomst financiële beloningen mogelijk te maken.

Een kwetsbaarheid melden

Informatie die onder dit beleid wordt ingediend, wordt uitsluitend voor defensieve doeleinden gebruikt. Als uw bevindingen kwetsbaarheden aan het licht brengen die de bredere gebruikersgemeenschap raken, kunnen wij uw rapport delen met de Cybersecurity and Infrastructure Security Agency (CISA). Wij zullen uw naam of contactgegevens niet bekendmaken zonder uw toestemming.

Wat wij graag willen zien

Om ons te helpen bij het effectief triageren en prioriteren van inzendingen, verzoeken wij u het volgende te verstrekken:

  • De locatie en potentiële impact van de kwetsbaarheid.
  • Een gedetailleerde beschrijving van de stappen die nodig zijn om de kwetsbaarheid te reproduceren (bijv. proof-of-concept scripts, schermafbeeldingen).
  • Rapporten in het Engels.

Wat u van ons kunt verwachten

Als u uw contactgegevens deelt, verplichten wij ons tot het volgende:

  • Bevestiging van ontvangst van uw rapport binnen 14 werkdagen.
  • Bevestiging van het bestaan van de kwetsbaarheid en informatie over ons herstelproces, inclusief mogelijke vertragingen.

Houd er rekening mee dat OneSuite geen vergoeding biedt voor ingediende kwetsbaarheden. Door een rapport in te dienen, doet u afstand van eventuele aanspraken op vergoeding.

Vragen

Voor vragen of suggesties over dit beleid kunt u contact met ons opnemen via [email protected].

Laatst bijgewerkt: November 12, 2024