Selecteer een pagina

Responsible Disclosure

Opgesteld op: 06/05/2025

🛡️ Introductie

Bij MITE3 streven we naar een hoge mate van beveiliging van onze ICT-systemen. Toch kan het gebeuren dat er ergens een kwetsbaarheid bestaat. We waarderen het enorm als je ons helpt deze op verantwoorde wijze te vinden en te melden.

Deze procedure is gebaseerd op de Responsible Disclosure-richtlijn van het Nationaal Cyber Security Centrum (NCSC).

🕵️‍♂️ Kwetsbaarheid gevonden?

Heb je een zwakke plek ontdekt in een van onze systemen? Laat het ons zo snel mogelijk weten via [email protected]. We werken graag met je samen om het probleem veilig en snel op te lossen.

📋 Wat we van je vragen

  • Mail je bevindingen naar [email protected]
  • Geef voldoende informatie om het probleem te reproduceren, zoals een URL, IP-adres en een korte beschrijving
  • Laat een manier van contact achter (bijv. e-mailadres of telefoonnummer), zodat we kunnen overleggen over de oplossing
  • Meld de kwetsbaarheid zo snel mogelijk na ontdekking
  • Deel je bevindingen niet met anderen zolang het probleem niet is opgelost
  • Ga verantwoordelijk om met de kennis: toon alleen aan dat het probleem bestaat, zonder verdere schade aan te richten

🚫 Wat je niet mag doen

Om veilig onderzoek mogelijk te maken zonder juridische risico’s, zijn de volgende acties nadrukkelijk niet toegestaan:

  • Het plaatsen van malware
  • Het kopiëren, wijzigen of verwijderen van gegevens
  • Het maken van wijzigingen in systemen
  • Meerdere keren toegang verkrijgen of delen met anderen
  • Brute-forcen van toegang (gebruik van geautomatiseerde inlogpogingen)
  • Denial-of-Service-aanvallen
  • Social engineering-technieken toepassen (zoals phishing of misleiding van medewerkers)

✅ Wat je van ons kunt verwachten

Als je je aan bovenstaande voorwaarden houdt:

  • Zijn er geen juridische consequenties verbonden aan je melding
  • Je ontvangt binnen 3 werkdagen een ontvangstbevestiging
  • Je krijgt binnen 5 werkdagen een inhoudelijke reactie met beoordeling en verwachte oplossingstermijn
  • We houden je op de hoogte van de voortgang
  • We lossen het probleem zo snel mogelijk op, uiterlijk binnen 90 dagen
  • In overleg kun je genoemd worden als ontdekker, bijvoorbeeld in onze Hacker Hall-of-Fame
  • We behandelen je melding vertrouwelijk en delen je gegevens niet met derden (tenzij wettelijk verplicht)

🎁 Beloning

Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van je melding, bieden we mogelijk een passende beloning. Denk aan een T-shirt tot maximaal €100.

Voorwaarden:

  • De kwetsbaarheid moet nieuw en serieus zijn
  • De kwetsbaarheid mag niet betrekking hebben op up-to-date, standaard software of Cloud-diensten die wij afnemen
  • Je moet ons in staat stellen het probleem te verifiëren

📨 Melding doen

Stuur je melding naar [email protected]. Vermeld waar mogelijk:

Contactgegevens:

  • Naam of nickname
  • E-mailadres

Technische details:

  • IP-adres(sen)
  • Domeinnaam / URL
  • Relevante headers of payloads (indien van toepassing)

Beschrijving van de kwetsbaarheid:

  • Uitleg van het probleem
  • Risico of potentiële impact
  • Eventuele proof-of-concept
  • Suggesties voor een oplossing

📄 Voor meer informatie zie ons security.txt bestand:
https://mite3.nl/.well-known/security.txt

🏅 Hacker Hall-of-Fame

We zijn dankbaar voor de meldingen van beveiligingsonderzoekers die bijdragen aan onze digitale veiligheid. Hieronder zie je een overzicht van melders van valide kwetsbaarheden, met hun toestemming opgenomen in onze Hall-of-Fame.

Heb jij ook een kwetsbaarheid gevonden? Volg dan onze meldprocedure hierboven – we erkennen graag jouw bijdrage.

Date Researcher Description
2023/12/10 Raju Basak Security misconfiguration in HTTP response headers: unsafe-inline and unsafe-eval present in the Content-Security-Policy. No patch available from WordPress or third-party plugins; compensating controls implemented.
2021/01/29 Chan Nyein Wai Denial of Service (DoS) vulnerability in load-styles.php. No patch available from WordPress; mitigated using compensating controls following the related 2019/06/03 CVE-2018-6389 report.
2020/09/08 Shebi Levi Denial of Service (DoS) vulnerability in wp-cron.php. No patch available from WordPress; mitigated through compensating measures.
2020/04/02 Gul Hamee Tabnabbing vulnerability affecting external links. Resolved by removing target="_blank" attributes or adding appropriate rel attributes to prevent exploitation.
2019/08/06 Mansouri Badis Denial of Service (DoS) vulnerability in the XML-RPC interface. No official patch provided by WordPress; mitigated using compensating controls.
2019/06/03 Asim Denial of Service (DoS) vulnerability in load-scripts.php (CVE-2018-6389). No official fix released; compensating controls applied.