Responsible disclosure zonder ruis
DueSight behandelt kwetsbaarheidsmeldingen als Coordinated Vulnerability Disclosure: snel bevestigen, reproduceerbaar beoordelen en pas openbaar maken na afstemming.
Antwoord in het kort: meld kwetsbaarheden via security@duesight.nl. De canonical machine-readable policy staat op /.well-known/security.txt. Gebruik dit programma voor beveiligingsproblemen in DueSight-systemen, niet voor commerciele scans, social engineering of denial-of-service-tests.
In scope
- DueSight.nl en publiek bereikbare DueSight-subdomeinen.
- Authenticatie, sessiebeheer en toegangscontrole.
- Data-exposure, injection, XSS, SSRF, path traversal en vergelijkbare technische kwetsbaarheden.
- Rapport- of documentroutes waarbij klantdata zichtbaar kan worden voor onbevoegden.
Buiten scope
- Denial-of-service of volumetests.
- Social engineering, phishing of fysieke beveiliging.
- Automatische scanner-output zonder reproduceerbaar bewijs.
- Derde partijen waar DueSight geen beheer over heeft.
Wat wij nodig hebben
- Een korte omschrijving van de kwetsbaarheid en impact.
- Stappen om het probleem te reproduceren, inclusief URL's, request bodies of screenshots waar passend.
- Een proof of concept die geen data van derden opent, wijzigt of verwijdert.
- Uw contactgegevens voor triagevragen en coordinated disclosure.
Response-tijden
Kritieke meldingen kunnen sneller gaan. De termijn hangt af van reproduceerbaarheid, impact, afhankelijkheden en of er derde partijen betrokken zijn.
Safe harbor
DueSight zal geen juridische stappen zetten tegen onderzoekers die te goeder trouw handelen, binnen scope blijven, geen privacy van derden schenden, geen verstorende tests uitvoeren en hun bevindingen niet publiceren voordat wij een redelijke herstelmogelijkheid hebben gehad.
Machine-readable policy
Contact: mailto:security@duesight.nl Expires: 2027-05-31T00:00:00Z Preferred-Languages: nl, en Policy: https://duesight.nl/security/ Canonical: https://duesight.nl/.well-known/security.txt