CYBERSECURITY & ICT SERVICES
ContactSupport

Responsible Disclosure
(kwetsbaarheid melden)

Bij Bokumo ICT vinden we beveiliging belangrijk. Toch kan er ondanks alle maatregelen een kwetsbaarheid aanwezig zijn in onze systemen of websites. Als u denkt een beveiligingsprobleem te hebben gevonden, horen wij dat graag zodat we het kunnen onderzoeken en oplossen.

Contact
U kunt een beveiligingsmelding sturen naar: [email protected]

Vermeld in uw melding bij voorkeur:

  1. De exacte URL of het subdomein waarop u het probleem ziet.

  2. Een korte omschrijving van de kwetsbaarheid (wat gaat er mis).

  3. Stappen om het te reproduceren, inclusief proof of concept waar mogelijk.

  4. Wat volgens u de impact is.

  5. Eventuele ondersteunende informatie zoals screenshots, headers of logs.

  6. Wanneer u dit heeft vastgesteld.

Wat wij van u vragen
Om schade te voorkomen vragen wij u om:

  1. Het probleem niet verder te misbruiken dan nodig is om aan te tonen dat het bestaat.

  2. Geen gegevens in te zien, te kopiëren, te wijzigen of te verwijderen.

  3. Geen accounts van anderen te testen.

  4. Geen social engineering toe te passen (zoals phishing of telefonisch om informatie vragen).

  5. Geen brute force, denial-of-service of verstorende scans uit te voeren.

  6. Uw bevindingen vertrouwelijk te houden totdat er een oplossing is, zodat kwaadwillenden geen voordeel hebben.

Als u deze richtlijnen volgt en de kwetsbaarheid te goeder trouw meldt, zal Bokumo ICT geen juridische stappen ondernemen tegen uw onderzoek.

Wat u van ons mag verwachten

  1. Wij bevestigen ontvangst van uw melding.

  2. Wij beoordelen de melding en proberen het probleem te reproduceren.

  3. Wij houden u op de hoogte van de voortgang waar dat redelijk en veilig mogelijk is.

  4. Als de melding terecht is, nemen wij passende maatregelen om het probleem op te lossen.

Tijdslijnen

  1. Ontvangstbevestiging: binnen 3 werkdagen.

  2. Eerste beoordeling: binnen 10 werkdagen (afhankelijk van complexiteit).

  3. Oplossing: zo snel mogelijk, afhankelijk van risico en impact.

Scope
Deze policy geldt voor kwetsbaarheden die betrekking hebben op:

  • Websites en diensten onder het domein bokumo.nl en bijbehorende (sub)domeinen die door Bokumo ICT worden beheerd.

  • Openbare diensten die door Bokumo ICT zelf worden geëxploiteerd.

Niet in scope

  • Systemen, netwerken of cloudomgevingen van klanten van Bokumo ICT.

  • Microsoft 365 tenants of andere cloudomgevingen van klanten.

  • Netwerkinfrastructuur die wij voor klanten beheren.

  • Monitoring-, RMM- en beheerplatformen.

  • Automatisch gegenereerde kwetsbaarheidsmeldingen afkomstig van mass-scans zonder aantoonbare impact.
  • Onderzoek naar systemen die niet eigendom zijn van Bokumo ICT.

Wat u van ons kunt verwachten

Wanneer u een kwetsbaarheid meldt, kunt u het volgende van ons verwachten:

  • Wij bevestigen de ontvangst van uw melding binnen 3 werkdagen.
  • Wij onderzoeken de melding en houden u op de hoogte van de voortgang.
  • Wij lossen de kwetsbaarheid zo snel mogelijk op.
  • In overleg kunnen wij u vermelden op onze Hall of Fame pagina zodra deze beschikbaar is.

Beloning
Bokumo ICT biedt op dit moment geen financieel beloningsprogramma of bug bounty voor kwetsbaarheidsmeldingen.

Wij waarderen responsible disclosure en kunnen melders, indien gewenst, vermelden op onze Hall of Fame (zodra beschikbaar).

Hall of Fame
Op onze nieuwe website zal een Hall of Fame worden opgenomen waarin wij onderzoekers bedanken die op een verantwoorde manier kwetsbaarheden melden.

Publicatie
Wilt u de kwetsbaarheid publiceren (bijvoorbeeld in een blog)? Neem dan eerst contact op. We stemmen graag af wanneer publicatie veilig kan.