NL
NL
Aanmelden mini-cart 0
NL
NL
BlogKnowledge BaseDeveloper APIStatusCustomer Portal

Systeembeveiliging heeft topprioriteit bij Leaseweb. Hoezeer we ons echter ook inspannen om onze systemen te beveiligen, er kunnen altijd kwetsbaarheden aanwezig blijven. Geen enkele technologie is perfect, en Leaseweb is ervan overtuigd dat samenwerking met bekwame cybersecurityonderzoekers van over de hele wereld cruciaal is om zwakke plekken aan het licht te brengen. Als u denkt dat u een beveiligingsprobleem hebt ontdekt in onze producten of diensten moedigen we u aan om contact met ons op te nemen, zodat we samen aan een snelle oplossing van het probleem kunnen werken.  

Richtlijnen voor responsible disclosure

  • Neem zo snel mogelijk na ontdekking van een potentieel beveiligingsprobleem contact met ons op, dan zullen wij al het mogelijke doen om het probleem te verhelpen.  

  • Geef ons een redelijke termijn om de kwestie op te lossen alvorens de informatie openbaar te maken of met een derde partij te delen.  

  • Gebruik alleen officiële communicatiekanalen. Gebruik geen persoonlijke e-mails, sociale-media-accounts of andere privékanalen om contact te zoeken met een lid van ons security team met betrekking tot kwetsbaarheden of programmagerelateerde kwesties, tenzij een medewerker u vraagt om dit te doen.  

  • Doe u niet voor als iemand anders: enige onbevoegde poging tot social engineering door imitatie van een medewerker van Leaseweb, een andere hacker, of een lid van een security team zal niet worden getolereerd.  

  • Als u voldoet aan alle in deze richtlijnen gestelde voorwaarden zullen we geen juridische stappen tegen u ondernemen in verband met de melding.  

  • Uw melding zal vertrouwelijk worden behandeld en we zullen uw persoonlijke gegevens niet zonder uw toestemming delen met derden, tenzij dit noodzakelijk is om aan een wettelijke verplichting te voldoen.  

  • Gratis diensten voor beveiligingsonderzoekers: wij kunnen de kosten van Leaseweb-diensten vergoeden als er kwetsbaarheden in onze systemen worden gevonden. De beslissing om terug te betalen en de hoogte van het bedrag dat vervolgens wordt terugbetaald is ter beoordeling van Leaseweb.  

  • Verschil tussen diensten van Leaseweb en diensten van klanten: kwetsbaarheden kunnen worden aangetroffen in diensten van klanten die worden gehuurd van Leaseweb maar niet door ons worden beheerd. Als deze kwetsbaarheden worden ontdekt, kunnen we het probleem niet oplossen of beloningen uitloven. Mocht dit gebeuren, dan brengen we u in contact met onze klant, indien dit haalbaar is.  

Beloning

Om uiting te geven aan onze waardering voor verantwoordelijke cybersecurityonderzoekers, biedt Leaseweb een beloning voor meldingen van in aanmerking komende kwetsbaarheden. Beloningen worden toegekend in de vorm van financiële compensatie of Leaseweb-merchandise. Het bedrag van de beloning wordt bepaald door Leaseweb en is gebaseerd op de interne beoordeling van de ernst van de gemelde kwetsbaarheid. Communicatie over de beloning vindt plaats nadat onze interne teams de kwetsbaarheid hebben gevalideerd.  

Beloningsvoorwaarden

  Om in aanmerking te komen voor een beloning, moet u:  

  • De eerste zijn die de kwetsbaarheid meldt.  

  • De op deze pagina vermelde richtlijnen opvolgen.  

  • De kwetsbaarheid niet openbaar maken voordat we deze hebben verholpen.  

  • Een werkende proof of concept leveren met betrekking tot de kwetsbaarheid. De PoC moet ten minste het volgende bevatten:  

  1. Details over wat de kwetsbaarheid inhoudt 

  1. De stappen die we moeten nemen om de kwetsbaarheid te reproduceren   

  1. Wat voor impact een aanval zou hebben als de kwetsbaarheid wordt misbruikt 

  • Uitsluitend door u gemaakte accounts gebruiken, zonder toegang te zoeken tot data van anderen.  

  • Geen inwoner zijn van een land dat op de Amerikaanse lijst van speciaal aangeduide nationaliteiten of geblokkeerde personen (SDN) staat.  

  • Geen inwoner zijn van een land dat op de geconsolideerde lijst staat van personen, groepen en entiteiten waarop EU-sancties van toepassing zijn.  

Uitsluitingen

We vragen u om u tijdens het onderzoek te onthouden van:  

  • Social engineering (inclusief phishing)  

  • Enige fysieke acties gericht tegen eigendommen of datacenters van Leaseweb  

  • Fysieke aanvallen op de infrastructuur  

  • Denial of service  

  • Login/logout CSRF  

  • Zelf-XSS (we hebben bewijs nodig dat de XSS kan worden gebruikt om een andere Leaseweb-gebruiker aan te vallen)  

  • Missende rate limit instellingen  

  • Meldingen van geautomatiseerde tools en scans  

  • Bugs in software van derden  

  • Kwesties met betrekking tot X-frame-options  

  • Ontbrekende cookie flags op niet-gevoelige cookies  

  • Ontbrekende beveiligingsheaders die niet rechtstreeks naar een kwetsbaarheid leiden (tenzij u een PoC levert)  

  • DKIM/SPF/DMARC-kwesties (we weten dat ze ontbreken en werken aan een oplossing)  

  • Version exposure (tenzij u een werkende PoC levert)  

  • Directory listing met reeds publiek leesbare content  

  • Content spoofing of tekstinjectie op foutpagina's  

Meldingsmethode

Stuur uw initiële bevindingen naar security@leaseweb.com. Indien nodig kunt u onze PGP-sleutel gebruiken om uw bericht te versleutelen. U vindt deze sleutel hier.  

Dank u voor uw bijdrage aan de veiligheid van Leaseweb en onze gebruikers! 

Terug naar boven