Na een goede tip hebben wij op Mackrad.nl nu ook een Responsible Disclosure. Een wat?
Wat is een Responsible Disclosure?
Om de vraag “Wat is een Responsible Disclosure?” te kunnen beantwoorden is het volgende handig om te weten:
Hackers die gedreven door nieuwsgierigheid lekken vinden bevinden zich vaak in een juridisch grijs gebied. Ook al hebben ze geen kwade bedoelingen is het vaak niet aantrekkelijk om de instelling te informeren over de lek. Het gebeurd vaak dat instellingen meldingen niet oppikken, slecht communiceren met de melder of zelfs ontkennen dat er een probleem is. In meer extreme gevallen kan het zelfs voorkomen dat een melder te maken krijgt met strafrechtelijke gevolgen. Het is dan ook begrijpelijk dat veel hackers niet de moeite nemen om lekken te melden.
Lees hier meer over op responsibledisclosure.nl.
Wij horen het juist graag wanneer er iets kan worden verbeterd aan onze website (-beveiliging). Om oplettende (ethische) hackers de hoognodige duidelijkheid te verschaffen hebben wij, net als de rijksoverheid, een Responsible Disclosure (RD) online gezet. Dit staat ook wel bekend als een Coordinated Vulnerability Disclosure (CVD).
Lees hier ook meer over op veiliginternetten.nl.
Wat staat er in een Responsible Disclosure?
De RD van Mackrad.nl bestaat uit het volgende:
Wat wij vragen
- De bevindingen zo spoedig mogelijk via security@mackrad.nl per e-mail kenbaar te maken.
- Voldoende informatie te verstrekken over je bevindingen om het probleem te kunnen reproduceren.
- Contactgegevens achter te laten zodat we je bij eventuele aanvullende informatie snel kunnen bereiken.
- Je bevindingen niet te delen met derden óf publiekelijk te publiceren voor het probleem definitief is opgelost.
- Geen misbruik te maken van de bevindingen door meer data dan noodzakelijk in te zien, te wijzigen óf verwijderen.
Wat wij beloven
- Binnen 48 uur te reageren.
- Wij houden je uitgebreid op de hoogte van de voortgang.
- Indien gewenst publiceren wij je naam óf alias als melder.
- De melding strikt vertrouwelijk wordt behandeld én persoonsgegevens niet worden gedeeld met derden.
Tenzij wij hiertoe wettelijk verplicht zijn. - Geen juridische stappen te ondernemen indien geheel aan de hierboven gestelde voorwaarden is voldaan.
- Afhankelijk van de ernst en kwaliteit van de melding bieden wij als dank voor je hulp een redelijke beloning aan.
De beloning varieert van een fleurig boeket tot een passende financiële vergoeding, of een 3D-print.
Wij worden graag betrokken bij eventuele publicatie(s) over het gemelde probleem.
Eerste melding
Onze RD stond nog geen twee dagen online en de eerste e-mail kwam al binnen. Een hacker uit India, die actief zoekt naar RD’s, kwam met de tip onze DMARC (een instelling voor je e-mail om spoofing tegen te gaan) strikter in te stellen. Dit hebben wij uiteraard gedaan.