/ TransIP Responsible disclosure policy
/ Spelregels openbaarmaking
- schending van privacy, verslechtering van de gebruikerservaring, verstoring aan productiesystemen en vernietiging van gegevens tijdens je beveiligingstests te vermijden;
- alleen onderzoek te verrichten binnen het hieronder uiteengezette kader; en
- informatie over kwetsbaarheden die je ontdekt hebt, vertrouwelijk te houden tussen jou en TransIP en ons 90 dagen te geven om het probleem op te lossen.
- met je samenwerken om de kwetsbaarheid te begrijpen en snel op te lossen (waaronder een eerste bevestiging van je melding binnen 72 uur na indiening daarvan);
- je op de hoogte houden van onze pogingen om de kwetsbaarheid op te lossen;
- geen wettelijke maatregelen ondernemen ten aanzien van jouw onthulling; en
- je belonen met een fantastische 'goodie bag' wanneer je de eerste bent die een kwetsbaarheid meldt en we een verandering aan onze code of configuratie aanbrengen dankzij jouw melding.
/ Binnen het kader van openbaarmaking vallen:
- https://www.transip.nl
- https://www.transip.be
- https://www.transip.eu
- https://www.transip.co.uk
- Jouw persoonlijke STACK-webpagina
- Mobiele apps en desktopclients van STACK
/ Buiten het kader van openbaarmaking vallen:
Vanwege de veiligheid van onze gebruikers, medewerkers, het internet in het algemeen en jou als beveiligingsonderzoeker vallen de volgende manieren van testen buiten het kader:- het testen van services die worden gehost door derden (providers en dienstverleners);
- het testen van applicaties die niet onder het beheer van TransIP vallen;
- het fysiek testen, zoals het betreden van kantoren (bijvoorbeeld open deuren, tailgating);
- social engineering (bijvoorbeeld phishing, vishing);
- het testen van applicaties en systemen die niet zijn vermeld onder het kopje 'Binnen het kader van openbaarmaking vallen';
- het testen op UI- en UX-bugs en spelfouten; en
- network level denial of service (DoS/DDoS)-kwetsbaarheden.
Wat we niet van jou wensen te ontvangen, zijn:
- persoonlijk identificeerbare informatie (PII); en
- betalingsgegevens, zoals bankrekeningnummers en creditcardgegevens.
/ Hoe meld je een beveiligingskwetsbaarheid aan ons?
- een beschrijving van de locatie en de potentiële impact van de kwetsbaarheid;
- een gedetailleerde beschrijving van de stappen die nodig zijn om de kwetsbaarheid te reproduceren (POC-scripts, screenshots en gecomprimeerde screencaptures vinden we allemaal nuttig);
- je naam/handle en een link naar keuze om eeuwig te ‘shinen’ in onze Hall of Fame.
Happy hacking!
/ Hall of Fame
Olivier Beg - Nick: Smiegles
Vivek Jain - Nick: rock2017
Found multiple small bugs which needed to be fixed to improve the overall security of our platform.
Elumalai vasan - Nick: 7hills
Akash Sebastian
Shivam Kamboj Dattana
Found information being exposed on a public interface that should not be there.