Responsible disclosure

Bij ExamenOverzicht richten we ons erop om examenkandidaten te helpen slagen. Dat doen we onder andere met een gave app en een online platform, waarmee je je optimaal kunt voorbereiden. Maar die omgeving moet natuurlijk wél veilig zijn. De examens zijn al stressvol genoeg en een inbreuk op je privacy, daar zit natuurlijk niemand op te wachten.

Om de site en app veilig te houden, hebben we meerdere initiatieven lopen. Eén daarvan is het responsible disclosure programma. Mocht je een (potentieel) beveiligingslek ontdekken op onze site of in de app, dan staat hier uitgelegd hoe je dit kunt melden en hoe we omgaan met je melding. Als je je houdt aan de onderstaande punten, zullen we geen juridische stappen ondernemen wat betreft de melding.

Rules of engagement

Ten eerste waarderen we het enorm dat je een beveiligingslek wilt rapporteren en ons de mogelijkheid wilt geven om dit lek te dichten. Zo maken we samen de site (en het internet in zijn geheel) steeds een beetje veiliger. Wanneer je een lek bij ons meldt, vragen we het volgende:

• geef voldoende informatie om ons het probleem te laten reproduceren;
• geef ons de kans om het lek te dichten en misbruik het lek in de tussentijd niet;
• deel je bevindingen ondertussen niet met anderen;
• mocht het downloaden van data nodig zijn, download dan niet meer dan strict noodzakelijk om het lek aan te tonen en verwijder deze data direct nadat we het lek hebben gedicht;
• maak geen gebruik van technieken waarmee de beschikbaarheid en/of bruikbaarheid van onze systemen of services worden vermindert zoals DoS aanvallen of het gebruik van malware;
• maak geen gebruik van social-engineering.

Bevindingen buiten de scope

De volgende typen bevindingen vallen buiten de scope van de responsible disclosure:

• Social engineering aanvallen, inclusief die gerichte zijn op medewerkers van ExamenOverzicht;
• Fysieke aanvallen tegen onze infrastructuur en faciliteiten;
• Scanner output of scanner gegenereerde rapportages, inclusief elke geautomatiseerde of actieve exploit tool;
• Content spoofing of tekst-injectie zonder de mogelijkheid om html of css aan te passen;
• Elke kwestbaarheid verkregen door een compromised medewerkers account;
• Gebrek aan secure of http-only flags.

Contact

Je kunt contact met ons opnemen door een mail te sturen, te bellen of te appen. Ons e-mail adres is security@examenoverzicht.nl. Bellen/appen kan naar 06-47946412.

We zullen zo snel mogelijk je melding beoordelen en hierop reageren. We richten op een reactie binnen twee werkdagen. Ook zullen we je tussentijds op de hoogte houden van de voortgang, mocht je dat willen.

Anonimiteit

Wij weten natuurlijk niet precies wie jij bent en jij weet wellicht niet precies wie wij zijn. Maar laten we hierbij afspreken dat we je anonimiteit garanderen, tenzij je graag credits wilt voor je bevinding. Dat mag natuurlijk ook, maar dan moet je het even aangeven. Als je hier niets over zegt, houden we het lekker anoniem.

Beloning

We zijn natuurlijk erg blij als een beveiligingslek wordt gemeld en we willen je daar graag voor belonen. We geven geen enorme bedragen, maar wel een aardigheidje voor de moeite. Meld je een lek waar we nog niet van op de hoogte waren, kun je – afhankelijk van de impact van je bevinding - denken aan 1 van de volgende beloningen:

• een gift card op Bol.com, Apple of Amazon;
• een donatie aan Stichting Leergeld;
• één of meerdere van onze producten.

Hall of fame

• Lütfü Mert Ceylan: voor het melden van meerdere kwetsbaarheden.
• Eren Şimşek: voor het melden van meerdere kwetsbaarheden.
• Enes Saltik: Voor het melden van meerdere kwetsbaarheden.
• Ertuğrul Özdemir: Voor het melden van meerdere kwetsbaarheden.
• Ekin Şiar Bayer: Voor het melden van meerdere kwetsbaarheden.
• Tolgahan Demirayak: Voor het melden van een kwetsbaarheid.
• Mustafa Durmuş: Voor het melden van een kwetsbaarheid.
• Taha Bıyıklı: Voor het melden van een kwetsbaarheid.
• Ronak Nahar: Voor het melden van een kwetsbaarheid.
• Armanul Miraz: Voor het melden van een kwetsbaarheid.