Responsible Disclosure

Maximum wil zich inspannen voor optimale veiligheid en hecht grote waarde aan de security van haar eigen ICT-systemen. Toch valt nooit uit te sluiten dat er zwakke plekken voorkomen.

Als u een zwakke plek in een van onze ICT-systemen hebt gevonden, horen we dat graag van u. We zullen dan zo snel mogelijk maatregelen nemen en hanteren hiervoor het volgende beleid.

Wij vragen u:

  • Uw bevindingen te mailen naar sysop@maximum.nl. Versleutel de bevindingen indien mogelijk met de PGP-sleutel van Maximum om te voorkomen dat de informatie in verkeerde handen valt.
  • Voldoende informatie te geven om het probleem te reproduceren zodat Maximum het zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Contactgegevens achter te laten zodat Maximum contact met u kan opnemen; dat kan een e-mail adres of telefoonnummer zijn.
  • De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
  • Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.

Rapporteer wel:

  • Persistent Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF/XSRF)
  • Niet werkende authenticatie
  • Het kunnen omzeilen van ingestelde privacy / rechten 
  • Remote Code Execution

Rapporteer geen:

  • Username dictionairy attack
  • Self-XSS
  • Missende / niet streng geconfigureerde DNS SPF records
  • Social hacking
  • Publiek toegankelijke login-pagina voor admin/cms omgeving
  • Veiligheidsproblemen in third-party apps (zoals Kerio) die niet opgelost zijn in de laatste versie
  • Denial of Service Vulnerabilities
  • Missende HSTS header / Secure cookie flag (deze site draait niet op https in heel de wereld)
  • Missende DNSSEC (we zijn bezig met de implementatie)
  • Aanvallen waarbij een DNS takeover nodig is
  • Webmail toegankelijk over onbeveiligde verbinding
  • Missende CSP header (we zijn bezig met de implementatie)
  • Missende Public Key Pinning headers
  • Mail relay configuratie problemen

Vermijd dus in elk geval de volgende handelingen:

  1. het plaatsen van malware.
  2. het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
  3. het aanbrengen van veranderingen in het systeem.
  4. het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  5. het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.
  6. het gebruik maken denial-of-service of social engineering.

Wat u mag verwachten:

  • Indien u bij de melding van een door u geconstateerde kwetsbaarheid in een ict-systeem van Maximum aan bovenstaande voorwaarden voldoet, zal Maximum geen juridische consequenties verbinden aan deze melding.
  • We behandelen de melding vertrouwelijk en delen persoonlijke gegevens, niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • In onderling overleg kan Maximum, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
  • Maximum stuurt u binnen 1 werkdag een ontvangstbevestiging.
  • Maximum reageert binnen 3 werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
  • Maximum houdt de melder op de hoogte van de voortgang van het oplossen van het probleem.
  • Maximum lost het door u geconstateerde beveilingsprobleem in een systeem zo snel mogelijk, maar uiterlijk binnen 60 dagen, op. In onderling overleg kan worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, wordt gepubliceerd.
  • Maximum biedt een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan de hoogte van de beloning variëren.

 

De public key voor het verzenden van versleutelde emails naar sysop@maximum.nl:

 

 

-----BEGIN PGP PUBLIC KEY BLOCK-----

 

 

mQINBFMQW5wBEAC3od6qsp7rB8FZRgR7SEZE1IY5h/Tru67xFaGAJObSht/mPcJ/

fUVfYmKY/I7ogPvSi2tQE+oSnIEjEFVxWRFFAhIx54cljT9JUNE6AIQsPgNOiQtW

PgyrrGz5gf1gJFbZ7hXNpF9J/r51UdLByV+RcsPEmCR5BOWw5vtpg4ntR/QBoQe3

TuaTVwg6s4yY53qBPlThEWN20tMPEd4OBlCXx1kZAsnKveKff/8RTDPnKZ8TWhLW

XsAmHFHT7S6+vUElV2AgFU5YVsZ+qTj5z8sF1r2o2IS5jRQeXcQoBMw4/aMZIS+0

XP57oBAjVMue+MPA0kPg0R3QLhE34cZHXX+1BMmNQ5hJ2wIVQ6Xtj9uxTM/r6MPy

+9D/v71DbS8+TenX+bpSHe4EpB0n99nPC75+OVm4uQD6Rahn1pCFeG/fb0wRzyKg

XQKnTjOZtCOec4UTWf8Wt3PuYTGuPWRcje97u48bLpjmh+hG+ysSEqBvS/c25oH/

yzHHHi88XruPQ9Rk14hpy5BR6ZWLYGSnsM/yzYp2s7L8nNqFLCVjtlWTcfu0Skew

WL8Kz0+6GOKUcCj7hMczPw//FrKvw7JXZGyjYfHNVMWgdFnyi0cJN5sqFmqIdQTD

a1yISC/FmnNxYomOOySqCICENccquP0BChNbwMxEAFzAYPzfQj2X1C5M7QARAQAB

tCtTeXN0ZW0gT3BlcmF0b3IgTWF4aW11bSA8c3lzb3BAbWF4aW11bS5jb20+iQI9

BBMBCgAnBQJTEFucAhsDBQkLSIaABQsJCAcDBRUKCQgLBRYCAwEAAh4BAheAAAoJ

EKlC1W3rpkyTTAUP/1uO/DXZrO9GbIPi8mVH+KVRE2+q5/sio6d6gPKM/cbgiSV4

5K75yQrqZMQFASsOoxahDOAaHm+dxHmagQNChnNuz3KFz5KZn2cTzkPAH2N3/iVb

cCE30NmpVgd+ICLwqEqiuepUaZxVgzNJpfP2ZIJQTQTSlM5pPW3jAhRRqD4S2u0n

tKA61GH4uMDnavZVTWvdrdGHfKKxeGOGh6vqY/JC0is/KBFXge7dPsUOOXJWV/XL

Cewxe0GZhjxCZ8fu5CbWyCA13+75spFS3uxEqbT0I5AG+5FvJtxM0ytfmUBqfygM

/NgqfJcGwrI4MdTpTIu9mgOX9ER4q4NXuJvb/aozgu4B6tcctp/mdYuWNsG6xNGn

SpOORwuXf7RvJdBVlakr9cHCVvDnf4h6ZaMaP5Pa4rpF8F916s+0GZTQOcFvI004

T5aApykjDATflxVwNlvZsrz6RjbvD9pgW1LuP75OGruwPoN72IGwgkjwRjoEzYgg

QMy8G6r2+Ei9rsYJbyMu10/sf6ix3U5duAh9gYXsRbTNgZ4olh8VgUT1F6KvPcZl

XEqvY3gJhNB3I0IHwz1SuZ6eENwYZK9W6yboFOSNBv5JlJJt2i2uYwewX1FtWRwf

jEbkf0//9AZLa3yaaF4LLGNzBOmHgXfJqayyrO571kVMpAgeZxA6/IBdU6P1uQIN

BFMQW5wBEADKdEyJlbofjYA8NCr7MYkE4wUhIPtTDbaRoqjoKGMw8fbBV/+IOODz

RPXRHEJ9N9gzGV5BZyalVDTcgrUkQEVBynnQTp6dIkDQ5ChQmchCGUD2orS/jSin

2sdQxkDzXGVcAXXgvGHdwCZFq+aigB389P+ac5Krk+CTDNkds2KMNOUyYu8tgqBQ

PzJmwCYFP9l2/wz+n2KTWBVS1gQzrdtkt8zF9kLeNjblOmGDztu0y4O+XB8iIDY8

EyxhvzG1ipeqKXK2bB9FI+YviaaJLM95ZB1fFidi63qyizk7mv+aAG6Yt4hH4rq6

V7Xupvd5yP7hIlcaZR5ncFXGpMRjY4iGJOVbsQ9Q6Mn/yVTcs4yLaPbf8gtjdjbY

NqmzKxDqw0GoTRxEAvnKhWDL5au+6v0h29oBVdk8NQTRf3gJ3K7Wk+uU6Zr6sVzO

kb7tVTfP6Rs7LnF4n+kDYSb4wcbFkD4TdRYJxnxMQvF3brsEj7OvgyMVW2zW92U4

eHsB4og9Ah5aYuJH2xXyKFtemWivb8y1llQH8qpTY2OazKpWc1pZlFMdp8hWxE/j

uvPiMGzO/tTzu+KS/iDYjmShCzg4bNAM2YDMN9QwIbNgnVp3gH9OzqfXRjgRD5H0

nsZeMKG4foBRa8dY3/0PswgBFnVGeylBUjm2Ge1TwSDgExAnhkR+5wARAQABiQIl

BBgBCgAPBQJTEFucAhsMBQkLSIaAAAoJEKlC1W3rpkyTV6oQAJPRHGOITIIDvCQc

Up6eNeOwqCXQGyFtoB94otf0mWg1Knmr7mujy11s/lE0n5yzNgB8Npyvt+SirAs/

MJgK5jAAgT3Xb/QfphIe6Axw7tdT0fDbJpRD8HDochJnesTbSDbXD0VRWowQhXTo

FAfnJsBHiaOoAc4q6zg+uLekTGOesEu+1UGz8m8phGMHR533grpqHCtQlAQfTbr7

dcFYO9AJF6+w8QEv4UCL/FvsQZ1qquK5NVLGrZBNsM2KKHF81wi2JqIWGZc2UAs8

XnPdFnH6ampSLVE24KmjdrNKE/nKcwxmwkI0Dvndl7rxNfrC/0HoYHvrhqMaycTE

VogOe9JKO1BJQa+vPQ7awV6xq/tYWDyldk8wwxEymtR7NBHMX2wh5RFV4LOd2BWe

hpnEUNltq4bs14TOGu3MsthmWUkvHn09aSnhnqnpY+UPe/zW6PpgQZq57d3RPaK0

Bm+1pR9+zBgDQ/9S/JHEXe/OLLgod+YSryspmszbvM8T73f/dhKsQmQEsM1PcBx4

92PZGaEA/lTv6mLao/6ksejiBVLWi48NVB90qv+BgFr8kFVUOVkY6wBaeeLf/Ki4

WLT1qEAMTGSK1sFfNa5Sn9emIInpHE6GlMQ5jcjQ6snXgJjwEeAlY8ZGF1yRMHDb

1Z8ChKg6wsJZpgx9CIQMlmijMiRk

=LiXY

-----END PGP PUBLIC KEY BLOCK-----

 

Kennismaken?

Bedankt voor je interesse in onze dienstverlening. Vul onderstaand formulier in en we nemen binnen een dag contact met je op. Je kunt ook een e-mail sturen naar enquiries@maximum.nl

Persoonlijke informatie

Opdrachtinformatie

Validatie

Wat ik nog wilde zeggen…

Heb je een vraag, suggestie, recept voor onze chef of gewoon een goed idee? We horen het graag! Vul onderstaande gegevens in of stuur een mailtje naar contact@maximum.nl

Persoonlijke informatie

Vraag / Suggestie / Idee / …

Validatie

Sluiten