Responsible disclosure beleid XS4ALL

Korte versie

Als jij een kwetsbaarheid ontdekt in een van de systemen van XS4ALL, dan willen we dat graag weten zodat we het probleem kunnen oplossen. Als jij belooft de kwetsbaarheid niet te misbruiken, dan beloven wij dat we geen aangifte doen. Je krijgt een heerlijke appeltaart als beloning en als we besluiten de gevonden kwetsbaarheid openbaar te maken, dan doen we dat in goed overleg met jou.

Langere versie

XS4ALL besteedt veel aandacht aan security. Juist daarom realiseren we ons dat geen enkel systeem gegarandeerd 100% veilig kan zijn, dus we houden er rekening mee dat zich in onze systemen kwetsbaarheden kunnen bevinden. Vanwege het belang dat we hechten aan de veiligheid voor onze gebruikers, horen we het graag als er een kwetsbaarheid in onze systemen gevonden is.

Het responsible disclosure beleid bestaat uit een aantal afspraken waaraan XS4ALL en de vinder van de kwetsbaarheid zich moeten houden.

Wat doet XS4ALL

  • Wij onderzoeken elke melding en geven altijd reactie op een melding.
  • We reageren binnen een werkdag op een melding en behandelen de gegevens van de vinder vertrouwelijk.
  • Als inderdaad sprake is van een kwetsbaarheid, dan houden we daarna contact over een redelijke herstelperiode.
  • Als we besluiten de gevonden kwetsbaarheid naar buiten te brengen, dan doen we dat in overleg met de vinder. Hierbij geven we openbaar erkenning aan de vinder, indien de vinder dat wil.
  • XS4ALL doet geen aangifte van computervredebreuk wanneer deze richtlijn gevolgd wordt en we zullen alles doen dat redelijkerwijs in onze macht ligt, om te voorkomen dat de vinder vervolgd zal worden.
  • We sturen de vinder een heerlijke appeltaart om te bedanken en nemen de vinder op in de XS4ALL hall of fame.
  • Terechte meldingen van kwetsbaarheden worden opgenomen in het Privacyjaarverslag van XS4ALL.

Wat doet de vinder?

  • De vinder handelt te goeder trouw, is verantwoordelijk voor eigen handelen en belooft geen misbruik te maken van de gevonden kwetsbaarheid.
  • De vinder zal niet op onevenredige manier handelen. Hiermee bedoelen we dat de vinder:
  • de kwetsbaarheid niet verder mag gebruiken dan strikt noodzakelijk is om de kwetsbaarheid aan te tonen;
  • geen gegevens op het betreffende systeem zal kopiëren, aanpassen of verwijderen;
  • geen veranderingen zal aanbrengen in het betreffende systeem;
  • anderen geen toegang zal geven tot het betreffende systeem;
  • De vinder meldt de gevonden kwetsbaarheid alleen aan XS4ALL (en dus niet aan andere partijen), door zo veel mogelijk informatie te sturen, waarmee de kwetsbaarheid gereconstrueerd kan worden. Dat kunnen zijn: logs, IP-adressen, URL‘s, timestamps, screenshots, etc.
  • De vinder mag anoniem melden. Voor vervolgcontact hebben we wel een geldig e-mailadres nodig.

Hoe melden?

Stuur meldingen van kwetsbaarheden in systemen van XS4ALL naar CERT@xs4all.net. Gebruik waar mogelijk encryptie. Onze public key staat hieronder, en is ook te vinden op de gebruikelijke PGP key servers, onze key ID is 0x94173F35CB032CBD (4096 bits RSA key, aangemaakt op 2014-09-01, verloopt 2019-08-31), en de key fingerprint is:

Key fingerprint = AFDA 0166 A4D1 2F0E 86D7 9111 9417 3F35 CB03 2CBD

De key is het eenvoudigste op te halen via:

gpg --recv-keys 0x94173F35CB032CBD

Hieronder de volledige public key:

-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.4.12 (Darwin) mQINBFQEjiwBEADNAi0MnumSpzaNi/tauFsL1FOgp1AD+QMWoyxSuoRB1Ui0CKzc AoJmASWz6YKNSCWqt6TrEvngZAlQs3/2sAQ9qZy4f2cyLw79ypvxEgfKDcoAPNMp wbvZ1MyaFATsKDVFVHdotVJIax/XGy1s0/D7p7yZaNPSmFohAUWojKinW9XJovDI gmIMHs8BNOuV9aEHzpb7NgnHsZfewdZMax1svDpntFKqLzFz55s8GWGdsDxisYq0 DS3ovW2uhP4GzK26dM0arCQOe6hNqO1dpVnIr7mtUuI2KWxdlyETBM6xMXEhh3f1 p457XsRBewF0bp9u7W619AXhgmrt3L/SITb1lkJXEoeeSritAUThafT5CK80n0/I jMYSLWbkN+tV1MnlMrA2975RUOJono+qDrhAxweg0PY3hfNybtim5K8M2BAfvVpU /lobZpOC2LM4WcDuVSsJ7vcnIzL6Y1ka9hBWjUlQTzfba2a0IwQxzFwem5AenFf5 g0PIxfpBTEnM63xUomRZM8xwg4ElSmJc2PkSc+IwfmE7AZe5plagSEBirhGb4ET9 febRn3H5U99afz7qRjbsB+7X0vAQcZMRkhMHtEZUwaI99PR3uue4i0jekVFFA0mv al2Mxf9wZj2aCbLiLMBaQvjC/3uix0ncsF/r/p/ITK0nP6AllY0Hjp9tIwARAQAB tB1YUzRBTEwgQ0VSVCA8Y2VydEB4czRhbGwubmV0PokCPgQTAQIAKAUCVASOLAIb AwUJCWYBgAYLCQgHAwIGFQgCCQoLBBYCAwECHgECF4AACgkQlBc/NcsDLL2W+w/5 AXolW4zyCeAK5beNgSJIDWomweZPh5QgMCzKS10FEPu5uDh1+aX8yYRMIJDWiZQe bQ8WqjKziI9TUTqW2dMEt8YUkxs8/1Ok0XdaBUXrvAOPTUbnc1d19Xkldzv7Uufx n++khPv59EO+T3JTAmlcyAUSp8EWfE34KrLEwNxzVeZF4I3Qf1ksceBOucl9uhmJ 1cU/hGtokmorzcNrUkpRm51BfMNZDKo+dRlKQIf4Jy5x3ui507b8RD+uZiQJor4r iul5R55VeUOIMQa26MU+ggW3cUvwj6t7ziSjUU68Hw1RrHwlCxQqof+ioSWf1kbq 0m6p/ZcrHSXUvEfsOSvDCJovu62VVXWLdCM1Wf6nbwLzcyWIWieR+/16UjT8LDC8 55aagbShyNWwHqFECdpA2+8jB2qe+N4GxXT+7eQlpH92P40XnilWsNIZbMn0qKfF v7wCDADcSShL83lg2ZVXrNyl0b3kAU3kfKEmAPYNpUsFMmg0mjm5cZVTnFXps5cq AVNsFdbLo1sBFcGM3anhUySV6ZRePRB9HKcu54qPhqLFuJ/TSd39Pao0ZvJm0XIs 1a+dFACWHRWaFd+z42tBqu4h3A4ZxthqXsHhNO0Rxu7OY0hxYiYfz4fC6WCCXLiy KhJeaCmfKFDlctuRQVOnD/Z40wDRPxazG9ydKSxhL7mJAhwEEAECAAYFAlQEjq8A CgkQWsCEnt1yvEyizg//WefYmX7fzpDb1tdPYEvg7kld5pzLTbs6DqLNO7nAq0Cf riZGERLKPAHPG0c8a+1ZrANplcPpsM+HaY986tmKAOx9C0+uYuv69deMv4n4et4W 0kWfWoseMYTlvcUEhhsjWYx3aWafOsFZCzHWskdmjWxPXQgJYk55SsbUSI9VQ+dJ nXTaUePCstQcd7359mpDYpVDi/u/ucTbRYgCrbxvNfpBL4793qfokeclalWdnyzA af54AQ6zy5CwFU1mzaU1uYE1+Vvf9t47gxXthZupVQlsikTSzTZPg3pAIHkX5OP2 5sjO+5dUPI/x/Nn0FcC0FT6wZAX8UlEHXbar95SAoiseNBPCc52NCRwHhuGa1qF9 VhQNsLJ+c9n10E1uRwnMDT7Q0rEDDVHl+pOS9Cyev3G7wcVpVIw/1zfoDqDm3VxD 5RDZkw0FEq/WE16n7BdJMrjAKRMor2EOa8Qb0v6kniQ5VY0MYZudFfI/Oo6ABaAv nBL5aajpHy4MrzHhANeI7u4H4226UfTFmQC/H5WOxdxh6aMf7VeG54bDYovjGMaP FCYTP/T2GZ2Jz84PQlBRdBe0wHTOff441u8c2htqauCay6DfDtwe09xzVek2WTm3 d6YHXvIBUz6K+a/6UX+V5cPpyzn6Zmy3/0VXPrluMfRhze2qqp6dcm/a0JNZE525 Ag0EVASOLAEQAJ43MLvPmdGi7KvukCxrq5AcJfj3lEx/XqjOKqvsG6WnMjTTYuvw Ky1CYVEX26slrlz3ohfqFRQMCB5nTq1DBfGpalRsmX9q6kSCE05HOUKpukZw+JIl nHugd86BPZEhPrMoyZn74sYR7UqWXC3YADXtEXOrJ1xaU2RdYmUSI4uWNr5/1f7l T0DK4J7G9De++xl7cbfIBKWYq7ioRSwxpdWfzl856jp1y4uNC8IAW9DKCP/7380A 3dZayFrH4p8gv7n1xh1zKhCYBTv5GtGk2Ji3Be+F/jw74/UM8ZCPJyXWpAVyYMx/ il69u07Fghx60j8aoUZJ221lu+8ex1TKD4bZKfftUg7avzkYPwlTjNYuUSX7iCRB 9LnLm3otjorp3okfzyEVYGLPOv8iv9efAyRbH0tbHIBwA1eXW61xQlU5G0bxU0bq dX3OLF4Fh693RAI/3AVrHeOul6L00BWGR/B9N6B2boJitaIVE30APrjtzOsRwRf0 +xZbPKB/GrTruYPLfcMvUOfelSUcbViop4MxjSdE9L/91f1FfajGq67BZcs6mtWE 6LaRDk2oswCB+8lYkbPB3igE2iPU0oCzCO7XYyoUPgxC9b2gsZ63PgW2EvWIjqIA spBzCjxLxcojh4pI3OhUtEm0OvHWVzllqvuWfyU0sma46QWy8Vb9HJ8xABEBAAGJ AiUEGAECAA8FAlQEjiwCGwwFCQlmAYAACgkQlBc/NcsDLL3OYg//UsZ/ExJwGSD+ lYYDpYubRY/oYaVOSAlH9dIQVgTLjpMGUtPU0Ius3du+d9Y5GWzIfJiuA4qeWv44 KmTDpF9OeJf4LMA6uTSPuS7z+ZgH7cnDQyqF2x15buqi9rTQfPu1AGFPCLMQkOgp y3i8LUwve4SKzkcITueyJcq4L52B0XWMzGM84WnqcA5vaDbZVjFFTeXppcC9b8tQ T2k8mq6VdcOgdYBkJh3aykdshAXiE2QnBtBq67U8luCdV1wM+ZeUK3cnXyj6iTip cqCYc6O0zbrlt1N9EAw0C3r5XilKFOgJfC+3soAZ7gjKOKyP/eso90Crr03X5VUB leqFio+4EZokSEmhUF0WbgKpBGIcUz0nl0h2sEUP4JpEpVbz681amfIXehD43BwH DoV8FZb53Gql9pfEGPGh3MpNkyh2nDGNLB8nHSMAqiBxDW4tgceCeqUsK27n3lS0 KuYjUaw3cUwKdVm1aUvcR6MDEWFTpFPFkrbVsW42g9nce/Cfz1upHlE8I59rmMop 2ZTNzL7ivK1GMbyE8VYT996Gj3RO+2ytlaDuxMEpmWIH/iEPuLFzzEf+W7WPmHtr pSE6lcziW4xGeXT9LCwIKTH/fryrbrnUsXT6g5N+VnBgqJ2KOI0I+8XixBPbTv15 mjLjBgGb5wiVGB7P8ERw35cke9IwvP0= =gszs -----END PGP PUBLIC KEY BLOCK-----

Wanneer niet aan deze richtlijnen voldaan wordt

Wanneer wordt ingebroken op onze systemen zonder dat daarbij deze richtlijn in acht wordt genomen, zal XS4ALL altijd aangifte doen.