Coordinated Vulnerability Disclosure-beleid
Bij NederHost vinden wij de veiligheid van onze systemen erg belangrijk; onze klanten vertrouwen immers hun gegevens aan NederHost toe. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.
U kunt een zwakke plek per toeval ontdekken of er specifiek naar op zoek gaan. Zoeken naar zwakke plekken bij NederHost is toegestaan, mits u geen overlast veroorzaakt. Hou er bovendien rekening mee dat onze geautomatiseerde systemen u hierdoor (tijdelijk) kunnen blokkeren.
Als u een zwakke plek in één van onze systemen heeft gevonden dan horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze klanten en onze systemen beter te kunnen beschermen.
Wij vragen u:
- Mail uw bevindingen naar cert@nederhost.nl of gebruik het formulier onderaan deze pagina. Als u per e-mail een melding doet dan kunt u deze versleutelen met onze PGP-sleutel.
- Misbruik het probleem niet door bijvoorbeeld gegevens te downloaden, veranderen of wijzigen, tenzij strikt noodzakelijk voor het aantonen van de kwetsbaarheid zelf. We nemen uw melding altijd serieus, het overhandigen van 'bewijs' in de vorm van gegevens is hiervoor niet nodig.
- Deel het probleem niet met anderen totdat het is opgelost en wis alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek.
- Maak geen gebruik van aanvallen op applicaties van derden (inclusief klanten van NederHost) of fysieke beveiliging. Maak geen gebruik van distributed denial of service-aanvallen, rechtstreekse aanvallen op specifieke diensten van onze klanten (zoals specifieke websites of mailboxen), dictionary atacks of spam.
- Geef voldoende informatie om het probleem te reproduceren zodat NederHost het zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
Wat NederHost belooft:
- Een reactie binnen 3 dagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
- Als u zich aan bovenstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding.
- Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
- Wij houden u op de hoogte van de voortgang van het oplossen van het probleem.
- In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker.
NederHost streeft er naar om alle problemen zo snel mogelijk op te lossen en wordt graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.
Zie voor meer informatie de Leidraad Coordinated Vulnerability Disclosure zoals gepubliceerd door NCSC.
Uitsluitingen
De volgende issues die vaak worden gevonden door geautomatiseerde tools zijn geen kwetsbaarheid:
- Het vrijgeven van informatie over de PHP-configuratie of andere gegevens op serieuzehosting.nl of een subdomein daarvan -- deze pagina's staan gelinkt vanaf deze website juist om inzicht te geven in de configuratie van de shared hostingservers.
- Het omzeilen van X-Frame-Options of andere browser-specifieke beveiligingsheaders -- in de meeste gevallen gaat het om ontbrekende features of bugs in browsers en er zijn bovendien andere maatregelen genomen om o.a. clickjacking tegen te gaan.
- Tokens of andere schijnbaar geheime informatie in de broncode van uptime.nederhost.nl -- deze pagina draait bij UptimeRobot en de codes in de broncode verwijzen naar de publieke statuspagina van NederHost.
Meldformulier
PGP-sleutel
-----BEGIN PGP PUBLIC KEY BLOCK----- xsFNBGI0S+IBEADIXuLGdQwdiIfcE8g7vDCwLRdxuxAY8nV/JJSzQedd0iIj en1WD6lP/0IKsYddHFi9ozxbghjYY0QVu9j+gDBGuswS8c2teKdSvn6DV15s D8KmcsVJsoV3SIPSHQ3LHe4+WU7Z9N07nxbZr8YQWN9doB6ExCOUV17O6N+i MF5wEkQiOTHmDJyeZYkk3Hjfgo+Ld1gtS71l/DhCgGMJSqmSMNE+yERTz5xv jnHFXTwr/uY1hGPgCwHySR6QJ7RzmUCtES/8HSs/CRA8QaiKw8W8xRNxfZnI sOOW43zf78pk3SaSvwryA65ESre6dB87DefZwX9M9DRaHviFdg9eS0Xx9QAb Vj+2FU1PcMxDsUXekV+9pCSGIvjzsGIRimf20KEhhw2TRsn6wl7Io7BuvZPt xfxpM0fG/JBU8a5y8SRGyvV78T8+g8Alo1zUQeqpSGhkEXPqOnspgsxH6pvw 9cqgUWaDcM/0J/9ZapjReFfM8MnoY98/PbefjpXSyxUmOc6+BtuWO6kiZAyr fQiVwrLloOPSyCwimOSWGnoJVwjTXJS/EHy2Hct8gVl8VdWO3YaoTAqicVwm D59qXPSGdsCt2+/Prfaag834qY5ERD5ZFD7+FrIKkmQSIFpQJEwEg0X+EhkV HVUlmvOAiklOhuMPekYL+lMKqc+c+JirlPS0sQARAQABzSJOZWRlckhvc3Qg Q0VSVCA8Y2VydEBuZWRlcmhvc3Qubmw+wsF1BBABCAAfBQJiNEviBgsJBwgD AgQVCAoCAxYCAQIZAQIbAwIeAQAKCRB5KQja4Laomw5GD/9yYDTgAM1hduiV xPTGvJ3aywTjy3VVyIql6/v9l0ReedVPOOQxdKFM9nPg58TsDsGCp+XgxMQD CCDA23eLxW1PZ3rFzi7QU8X7uE46IlYwlMEZZRb0/4TZ/IQ4wpFeUtxlezAK fx1mW5s5uXIyTCSzzdJWxCwlw94NPVcPGmb68hjHwWhIA+IY2xD7hP23q5pp 0iNrFjzA/ePiwpAUV6hFa9c6GEYZr+/yeeAr5pOEJxFnj5sbRWijXDBroYoa pDDQdRSH0Gm8V9crrBebgd2liL3llDjCeW1xMfUglDk1u6QRcJdE/LhKUZWo DR3Wae0btzF2wPS01q4as0LJ9D3cPXIByKt/ua6e/KbcHkwFcOfbqMRxU3S0 BlEjP5j1/qmjmuDojnwAWQUXW8eugNsSlPvnNznOxMLf+q1MXnG0vMK7Zzm4 VHRIE6TNH+zVrbudSpQYSYA5jqNjlaobGUU14v05l0fYaXiqz4kzMMnpdpW2 QTjvxWekZbgt58ENVn2LGU5SwOLgBLyoC5mfFFbBqoDZqA70X6TQPbtSToYB oUYJuW4zEajl2dEfqv26jHvavzPN2kAwxvYfBDOIce6mE66Lm1mdxMb6aaTo WgnFR55roo7lnCSTLQQ5UxOvTSIO8utQxpmXTIsJtA83RShOxSWX4I6z8lUR paVsrCMqt87BTQRiNEviARAAmSp9p/dfdDbqTlKotLtMnI3V1a5SbSkM2yXt FlstXb+y/7DJZgXJw8OSrGbay8V6tk1ImKrwVWUXxs03+WurMZUE3WWJ5pTR R0NTgTtjxof+ngff+Y2+1xJBfSjSKpmobwTnE2GVYEHxZPPx9hZAWuEysl24 rLOMWWoKs7nz87ciSHsYHFClBxoBYsSdNXQL5Lanpd2gPBvh82OXwQnOujmk Nf8R3SrmDQPQ94dM/q/7USt06sb38q4MDIutB6QxzU0qkiHBc++at5u22ene +aiWnqXXlFCfPIuJfeM0uMM5blkgForm3p+klk97sh7IS6G5CJ94ge07y3Pn MN5wcpAh/INXNeBV5LfFo56vyCOtK8RvH2P4WzvGvcsxBCrq25gWOxdaagQ0 /c0F1vgntvwxL6pPf0uKV22i4Lw+P1R/1N930HvOuHngJv3j/5ViBLXL3UFN zWYLXpkvj0JZFJTjLnoTesLHPaJb9FQwIzb0HE4sh1AP5fCd73REKOv3m+ey 58CphrT5H9GQ7NjeNW2+ZBH35nXT/eZSXSEUaZye6+GhDx75It0DP1plC/F2 RZzkhY58vj6M319BT5fKKp+gp/MbNSmE1aAeKNkLFjW8IV1XItmbq7SSL7am R1XSE3KzEOpaz6gn6LNSySvgmZfIxW03qKpOdxD0cAYfVF8AEQEAAcLBXwQY AQgACQUCYjRL4gIbDAAKCRB5KQja4Laom0uYD/91it+L3GYsB/ORK90yo6PK 6BuxfVZtl+5ZTceHg8jTtn+LETgVNLX01Etld6+cEydPkWTM4pgm5bu+BajQ mmvxL1b5x56cP72c3FU/RO2yXatvS9ySgNzcuIzl2SWjigKV66TWwZl1AAAn MxO+UwZHKiD+FH2Mp12Msp/ygxFVcMcSCmboNmcvFbZp3ZNsPIX/6BZ9eCvD abEbbGVaeg92WtJb+XsZwbw/h2HAnbmG2UmM0mSL8Qf3Sf6doadwyJth0kuG WQGBktbnI8LFoGJ5c8Ywk3/9+wL+1UE6Gc4rpI6F/Zwf//MYIkC09TZCmjfC sMHrhS+8O6y21CnpcMt9NgjuQ6arJJUxMuL87W0apBlAVd4S8AdzUUOAq4Wg IpvPnckIKCYGhmvKr1PgrSnQxnc6LjCLmCs/evizNKPkK4/orID55wVRfwwD wOIiMnT2lRLfpyTAKbYLUqDJ5sHipyiTZb9Tzip7mOQylYYloQczFOEU8ir5 BhB4FsgI90l6z5HUQyE7VGOwVRZwHDJy60hPwFjNerNiNMCgFWjByQEoQQOk ml/W40iuvxGabmPeK4jNA7N0ie8RBbotK46Tgs2Cq2v8SgkkYs/Xl16xMbK3 u//3ZZjS+WPKHVB9DNfat0wg3zGcO/JLgPVk6EsbPR7U15whJM4H9DyYeYH2 6g== =Kk4B -----END PGP PUBLIC KEY BLOCK-----