RGF Staffing Belgium NV - Verantwoordelijk Beleid voor Kwetsbaarheidsmelding
Definities
- "Wij" of "Ons": RGF Staffing Belgium NV met maatschappelijke zetel in Antwerpen, Frankrijklei 101, RPR Antwerpen, met ondernemingsnummer 0461.127.904 en alle met RGF Staffing Belgium geassocieerde ondernemingen.
- Geassocieerde Ondernemingen: de bedrijven die direct en indirect verbonden zijn met de Aannemer of de Opdrachtgever, respectievelijk in de zin van artikel 1:20 van het Wetboek van Vennootschappen en Verenigingen.
- "U": elke gebruiker van dit Beleid.
- Beveiligingsonderzoekers: Beveiligingsonderzoekers verwijzen naar individuen of organisaties die ter goede trouw en via ethische middelen betrokken zijn bij het identificeren, analyseren en rapporteren van potentiële beveiligingskwetsbaarheden in systemen, applicaties of netwerken. Deze onderzoekers handelen met de intentie om de algehele beveiliging en integriteit van digitale infrastructuur te verbeteren door ontdekte kwetsbaarheden verantwoordelijk te melden aan de juiste partijen voor herstel, terwijl ze zich houden aan toepasselijke wetten en best practices.
- Beleid: dit Verantwoordelijk Beleid voor Kwetsbaarheidsmelding.
Dit beleid is bedoeld voor Beveiligingsonderzoekers die potentiële beveiligingskwetsbaarheden willen melden aan het beveiligingsteam van RGF Staffing Belgium.
Dit beleid is NIET bedoeld voor gebruikers (HR-kandidaten of HR-klanten) die beveiligingsgerelateerde vragen hebben of problemen ondervinden met wachtwoorden of accounts.
Voor HR-kandidaten:
Als u een kandidaat bent met een beveiligingsgerelateerde vraag of problemen ondervindt met uw wachtwoord of account, neem dan rechtstreeks contact op met het kantoor waar u bent geregistreerd. Contactgegevens zijn te vinden op de websites van onze merken.
Voor HR-klanten:
Als u een klant bent met zorgen over beveiliging of hulp nodig heeft met uw wachtwoord of account, gebruik dan de aangewezen ondersteuningskanalen die bij uw product of dienst worden geleverd.
Bereik
Dit beleid geldt voor alle diensten, producten of web-eigendom van RGF Staffing Belgium.
Let op! De meeste meldingen die we ontvangen hebben weinig of geen beveiligingsimpact of zijn al bekend. Om een teleurstellende ervaring te voorkomen wanneer u contact met ons opneemt, neem even de tijd om te overwegen of het probleem dat u wilt melden daadwerkelijk een realistisch aanvalsscenario heeft.
Meer specifiek vragen we u om geen meldingen in te dienen over:
- Alle XSS cache poisoning / X-Forwarded-Prefix+ & Stored Cross-Site Scripting.
- Alles met betrekking tot e-mailspoofing, SPF, DMARC of DKIM.
- API key disclosure zonder bewezen zakelijke impact.
- Willekeurige bestandsupload zonder bewijs van het bestaan van het geüploade bestand.
- Banner grabbing/Version disclosure.
- Inbreuken van best practices (wachtwoordcomplexiteit, vervaldatum, hergebruik, enz.).
- Blind SSRF zonder bewezen zakelijke impact (pingbacks zijn niet voldoende).
- Het omzeilen van snelheidslimieten of het niet bestaan van snelheidslimieten.
- Clickjacking.
- Content injectie zonder de HTML te kunnen wijzigen.
- Content spoofing en tekstinjectieproblemen zonder een aanvalsvector te tonen/zonder de HTML/CSS te kunnen wijzigen.
- CORS-misconfiguratie op niet-gevoelige fysieke apparaten.
- Cross-Site Request Forgery (CSRF).
- CSV-injectie.
- CSV/formule-injectie.
- Denial of Service.
- Onthulde/misconfigureerde Google Maps API-keys.
- Drastische toename van het aantal e-mails.
- Verlopen SSL-certificaten, zwakke SSL Ciphers of problemen met oude TLS/SSL-versies.
- Bevindingen van geautomatiseerde tools zonder een Proof of Concept te leveren.
- Exploits op basis van Flash.
- Onthulling van Google Maps API keys.
- Aanvallen met Homograaf woorden.
- Host header-injectie, tenzij u hebt bevestigd dat het kan worden misbruikt in een praktische aanval.
- HTTP Request smokkel zonder enige bewezen impact.
- Ontbrekende cookie flags.
- Ontbrekende e-mail best practices (ongeldige, onvolledige of ontbrekende SPF/DKIM/DMARC-records, enz.).
- Ontbrekende of zwakke beveiligingsgerelateerde HTTP-headers.
- Ontbrekende beveiligingsheaders.
- Niet-gevoelige gegevensonthulling, bijvoorbeeld banners met de server versie.
- Het niet strippen van metadata van bestanden.
- Pre-Auth Account overname/OAuth squatting.
- Aanwezigheid van autocomplete-attribuut op webformulieren.
- Eerder bekende kwetsbare software of bibliotheken zonder een werkende Proof of Concept.
- Snelheidslimiet- of brute force-problemen op niet-authenticatie-eindpunten.
- Reverse tabnabbing.
- Same-site scripting.
- Self-XSS die niet kan worden gebruikt om andere gebruikers te misbruiken.
- Sessies die niet worden ongeldig gemaakt (uitloggen, 2FA inschakelen, enz.).
- Subdomeinovername zonder het subdomein over te nemen.
- Theoretische kwetsbaarheden zonder enig bewijs of demonstratie van de werkelijke aanwezigheid van de kwetsbaarheid.
- Tokens gelekt naar derden.
- Gebruikersnaam/e-mailenumeratie.
- Gedetailleerde berichten/bestanden/directory-vermeldingen zonder gevoelige informatie te onthullen.
- Kwetsbaarheden die MITM of fysieke toegang tot de browser van een gebruiker, een smartphone of e-mailaccount vereisen, evenals problemen op rooted of jailbreaked smartphones.
- Wordpress-gebruikersnaamonthulling.
- XMLRPC ingeschakeld.
Wanneer duplicaten optreden, accepteren we alleen het eerste rapport. Een duplicaat is een kwetsbaarheid waarvan we al op de hoogte zijn, ongeacht hoe we er voor het eerst van op de hoogte zijn geraakt (het kan ook intern door ons zijn ontdekt).
Onze Verplichtingen
Wanneer u met ons samenwerkt onder dit beleid, kunt u het volgende van ons verwachten:
- Safe Harbor: We zullen Safe Harbor-bescherming bieden voor elk kwetsbaarheidsonderzoek dat in overeenstemming met dit Beleid wordt uitgevoerd.
- Snelle Communicatie: We zullen nauw met u samenwerken om uw rapport te begrijpen en te valideren, en binnen 12 werkuren na indiening een eerste reactie geven.
- Tijdige Herstelmaatregelen: We zullen snel actie ondernemen om eventuele geverifieerde kwetsbaarheden aan te pakken en op te lossen.
Safe Harbor
We erkennen kwetsbaarheidsonderzoek dat onder dit beleid wordt uitgevoerd als geautoriseerd, wettig en gunstig voor de algehele beveiliging van het internet, mits het te goeder trouw wordt gedaan. U wordt verwacht zich te houden aan alle toepasselijke wetten tijdens uw onderzoek.
Als u zich zorgen maakt of niet zeker weet of uw onderzoek in overeenstemming is met dit beleid, moedigen we u aan om een rapport in te dienen via ons officiële kanaal (zie hieronder) voordat u verder gaat.
Richtlijnen
Om kwetsbaarheidsonderzoek te promoten en goede bedoelingen te onderscheiden van kwaadaardige activiteiten, vragen we u om:
- Speel volgens de regels. Dit omvat het volgen van dit Beleid, evenals andere relevante voorwaarden of overeenkomsten. Als er enige inconsistentie is tussen dit Beleid en andere relevante voorwaarden, zullen de voorwaarden van dit beleid de voorkeur krijgen.
- Voer alleen tests uit op systemen die binnen de scope vallen, en respecteer systemen en activiteiten die buiten de scope vallen.
- Ga alleen om met accounts of apparaten die u bezit of met expliciete toestemming van de eigenaar.
- Doe uw best om privacy schendingen, vernietiging van gegevens en onderbreking of degradatie van onze service te vermijden.
- Als een kwetsbaarheid onbedoelde toegang tot gegevens biedt, beperk dan de hoeveelheid gegevens die u opent tot het minimum dat nodig is om een Proof of Concept effectief te demonstreren.
- Stop onmiddellijk met testen en dien een rapport in als u tijdens het testen gebruikersgegevens tegenkomt, zoals persoonlijke gegevens en gevoelige persoonlijke gegevens, creditcardgegevens of eigendomsinformatie.
- Probeer geen Denial of Service-aanvallen uit te voeren.
- Social engineering (bijv. phishing, vishing, smishing) is verboden.
- Meld elke kwetsbaarheid die u hebt ontdekt onmiddellijk.
- Ga niet over tot afpersing door een beloning te eisen voordat u kwetsbaarheidsdetails bekendmaakt.
- Gebruik alleen de officiële kanalen om kwetsbaarheidsinformatie met ons te bespreken.
- Voer geen DoS/DDoS-aanvallen of brute force-aanvallen uit.
- Gebruik geen Auto Scanners.
Opmerking
U mag geen enkele kwetsbaarheid openbaar bespreken of publiceren voordat deze is verholpen en u expliciete toestemming van ons hebt ontvangen om dit te doen.
Hoe u contact met ons kunt opnemen
Het Responsible Disclosure Program van RGF Staffing Belgium is beschikbaar op het Intigriti-platform: https://app.intigriti.com/company/programs/rgfstaffing/rgfbe-vdp/detail
Rewards
We bieden geen geldelijke beloningen voor Responsible Disclosure-rapporten, maar als u rapporteert via het RGF Staffing Responsible Disclosure-programma van RGF Staffing op Intigriti, bieden we voor alle geldige Medium+ rapporten tokens van waardering als een blijk van dankbaarheid.
De enige uitzonderingen op geldelijke beloningen zijn de specifieke middelen opgelijst in onze Registered Bug Bounty Program op Intigriti. Houd er rekening mee dat we voor het geregistreerde Bug Bounty Programma alleen rapporten accepteren voor die assets die expliciet binnen de scope van het programma vallen; andere varianten komen niet in aanmerking. Voor alle andere assets, ongeacht de rapportagemethode, erkennen we onderzoekers die onbekende kwetsbaarheden indienen die leiden tot een wijziging in de code of configuration door hen een plek te bieden in onze Security Hall of Fame (HoF).
Quick links:
RGF Staffing Belgium Responsible Disclosure program (Intigriti)
RGF Staffing Belgium Registered Bug Bounty Program (Intigriti)