Bug Bounty Programma

FlowHunt streeft ernaar haar dienst veilig te houden voor iedereen, en databeveiliging heeft de hoogste prioriteit. Ben jij een beveiligingsonderzoeker en heb je een kwetsbaarheid in de dienst ontdekt, dan waarderen wij het als je deze privé aan ons meldt en ons de kans geeft deze te verhelpen voordat technische details openbaar worden gemaakt.

FlowHunt werkt samen met beveiligingsonderzoekers wanneer kwetsbaarheden bij ons worden gemeld zoals hier beschreven. We valideren, reageren en lossen kwetsbaarheden op in lijn met onze toewijding aan beveiliging en privacy. We zullen geen juridische stappen ondernemen, toegang tot de dienst opschorten of beëindigen voor degenen die op verantwoorde wijze beveiligingskwetsbaarheden ontdekken en melden. FlowHunt behoudt al haar wettelijke rechten bij niet-naleving.

Deelnamevoorwaarden

Om in aanmerking te komen voor ons bug bounty programma, moet je:

• Minimaal 18 jaar oud zijn
• Geen huidige of voormalige FlowHunt-medewerker, -aannemer of direct familielid zijn
• Niet onderworpen zijn aan Amerikaanse sancties of wonen in een door de VS geboycot land
• Voldoen aan alle geldende wetten en regelgeving
• Verantwoordelijke openbaarmakingspraktijken volgen

Melden

Deel de details van vermoedelijke kwetsbaarheden met het FlowHunt Security Team via support@flowhunt.io . Maak deze details niet openbaar buiten dit proces zonder expliciete toestemming.

Vereisten voor kwaliteit van de melding

Je kwetsbaarheidsmelding dient te bevatten:

• Samenvatting: Korte beschrijving van de kwetsbaarheid
• Impact: Potentiële impact op beveiliging en bedrijfsrisico
• Stappen om te reproduceren: Gedetailleerde, stapsgewijze instructies
• Bewijs van concept: Bewijs dat de kwetsbaarheid aantoont
• Getroffen onderdelen: Specifieke URL’s, parameters of componenten
• Beoordeling van ernst: Jouw inschatting van het ernstniveau
• Mitigatievoorstellen: Aanbevolen oplossingen (optioneel)

Wil je meerdere meldingen tegelijk indienen, dien dan slechts één melding in (bij voorkeur de belangrijkste) en wacht op een reactie.

Reactietermijn

• Ontvangstbevestiging: Binnen 5 werkdagen na indiening van het rapport
• Eerste beoordeling: Binnen 10 werkdagen
• Oplossingstermijn: Binnen 90 dagen voor geldige kwetsbaarheden
• Updates: Regelmatige statusupdates gedurende het proces

Beloning

We zijn verheugd een beloning te bieden voor informatie over kwetsbaarheden die ons helpen onze klanten te beschermen, als dank aan de beveiligingsonderzoekers die deelnemen aan ons bug bounty programma.

Ernstclassificatie

Kritieke ernst ($100):

• Remote code execution
• SQL-injectie met toegang tot gegevens
• Authenticatie-omzeiling met impact op meerdere gebruikers
• Privilege-escalatie naar admin-niveau
• Volledige overname van een account

Gemiddelde ernst ($50):

• Cross-site scripting (XSS) met significante impact
• Omzeiling van toegangscontrole met impact op beperkte data
• Directory traversal met bestandsinzage
• Problemen met sessiebeheer
• Gebroken authenticatie met impact op één gebruiker

Lage ernst (niet in aanmerking voor uitbetaling):

• Kleine informatiestukken die worden onthuld
• Self-XSS zonder realistisch aanvalspad
• Rate limiting problemen
• Ontbrekende security headers zonder uitbuitbare impact

Betaalvoorwaarden

• Beloningen worden uitsluitend via PayPal uitbetaald
• Bug bounty hunters dienen een PayPal-factuur te versturen
• Geen andere betaalmethoden mogelijk
• Betaling binnen 30 dagen na ontvangst van de factuur
• Alle betalingen zijn onderhevig aan toepasselijke belastingregels

Alleen de eerste melder van een kwetsbaarheid wordt beloond. Dubbele meldingen komen niet in aanmerking voor een beloning.

Scope

Binnen scope

Je mag alleen testen op een FlowHunt-account waarvan jij de eigenaar bent of waarbij je als agent door de eigenaar bent gemachtigd om te testen. Bijvoorbeeld: jouwdomein.flowhunt.io

In aanmerking komende onderdelen:

• *.flowhunt.io domeinen en subdomeinen
• FlowHunt webapplicaties en API’s
• FlowHunt mobiele applicaties (indien van toepassing)

In aanmerking komende kwetsbaarheidstypen:

• Remote Command Execution (RCE)
• SQL-injectie
• Gebroken authenticatie
• Gebroken sessiebeheer
• Omzeiling van toegangscontrole
• Cross-Site Scripting (XSS)
• Open URL-omleiding
• Directory traversal
• Server-Side Request Forgery (SSRF)
• Fouten in bedrijfslogica

Buiten scope

Verboden activiteiten:

• Social engineering aanvallen (phishing, vishing, etc.)
• Fysieke aanvallen of fysieke toegang tot FlowHunt-locaties
• Denial of Service (DoS) of Distributed Denial of Service (DDoS) aanvallen
• Spam, bulkcommunicatie of geautomatiseerde tools tegen onze systemen
• Netwerkaanvallen of infrastructuurscans
• Aanvallen die fysieke toegang tot gebruikersapparaten vereisen
• Brute force aanvallen of wachtwoordkraken
• Testen op accounts die je niet bezit of waar je geen expliciete toestemming voor hebt

Niet in aanmerking komende bevindingen:

• Rapporten waarbij een aanvaller alleen zijn eigen account kan bedreigen
• XSS veroorzaakt door een Admin of bevoorrechte gebruiker
• Kwetsbaarheden die onwaarschijnlijke gebruikersinteractie vereisen
• Problemen waarbij de gebruiker kwaadaardige software moet installeren
• Theoretische kwetsbaarheden zonder duidelijk exploitatiepad
• Content spoofing zonder beveiligingsimpact
• Ontbrekende rate limiting zonder aantoonbare impact
• Problemen die alleen verouderde browsers of platforms raken

Programmaregels

Testinstructies

• Test alleen op accounts die je bezit of waarvoor je expliciete toestemming hebt
• Neem geen toegang tot, wijzig of verwijder geen gegevens van andere gebruikers
• Verstor onze diensten niet en verminder de prestaties niet
• Beperk geautomatiseerd testen om verstoring van de dienst te voorkomen
• Maak kwetsbaarheden niet openbaar voordat ze zijn verholpen
• Doe je best om privacy-inbreuken en datavernietiging te voorkomen

Safe Harbor & Juridische bescherming

FlowHunt belooft:

• Geen juridische stappen te ondernemen tegen onderzoekers die dit beleid naleven
• Samen te werken met onderzoekers om beveiligingsproblemen te begrijpen en te valideren
• Geldige bijdragen aan onze beveiliging te erkennen
• Vertrouwelijkheid te waarborgen en geen identiteit van onderzoekers te delen zonder toestemming

Onderzoekers moeten:

• Alle toepasselijke wetten en regelgeving volgen
• Alleen toegang nemen tot data die nodig is om de kwetsbaarheid aan te tonen
• Kwetsbaarheden snel en te goeder trouw melden
• Kwetsbaarheden niet verder uitbuiten dan nodig is voor demonstratie

Openbaarmakingstermijn

• Direct: Melding ingediend bij support@flowhunt.io
• 90 dagen: Standaard openbaarmakingstermijn na eerste melding
• Gecoördineerd: Openbaarmaking alleen na wederzijdse overeenstemming
• Spoed: Kritieke kwetsbaarheden kunnen een versnelde termijn hebben

Onderzoekers mogen kwetsbaarheden 90 dagen na de eerste melding openbaar maken, of zodra FlowHunt bevestigt dat het probleem is opgelost, afhankelijk van wat het eerst plaatsvindt. We moedigen gecoördineerde openbaarmaking aan en werken graag samen met onderzoekers over de juiste timing.