Responsible Disclosure-beleid – Hacker B.V.

Introductie

Beveiliging heeft voor Hacker B.V. de hoogste prioriteit. Ondanks zorgvuldige maatregelen kunnen kwetsbaarheden ontstaan of onopgemerkt blijven. Dit beleid beschrijft hoe iedereen – intern en extern – kwetsbaarheden veilig kan melden en welke rechten en plichten daarbij gelden.

Doel

Wij waarderen meldingen van beveiligingskwetsbaarheden zodat wij snel passende maatregelen kunnen nemen. Samen beschermen we gebruikers, data en systemen beter. Dit beleid is geen uitnodiging om actief en grootschalig onze infrastructuur te scannen; dergelijk verkeer wordt door onze Security Operations Team (SOC) gesignaleerd en kan onnodige kosten veroorzaken.

Scope

Alle systemen, applicaties en netwerken onder domeinen en IP-ranges van hacker.nl. Diensten van derden die niet door Hacker B.V. worden beheerd vallen buiten scope.

Richtlijnen voor Onderzoekers

  • Meld bevindingen zo snel mogelijk via info@hacker.nl.
  • Misbruik de kwetsbaarheid niet (geen extra data downloaden, wijzigen of verwijderen).
  • Wees terughoudend met persoonsgegevens.
  • Stop onderzoek zodra de kwetsbaarheid is geverifieerd; zoek geen verdere toegang.
  • Deel de kwetsbaarheid niet met anderen vóór afhandeling.
  • Test geen fysieke beveiliging, social engineering, (D)DoS, malware of spam.
  • Verstrek voldoende details (url/ip, stappen om te reproduceren, bewijs).

Niet-toegestane Handelingen

  • (D)DoS of resource-uitputting
  • Social engineering, phishing, fysieke inbraak
  • Plaatsen of uitvoeren van malware
  • Verwijderen of wijzigen van gegevens
  • Mass-scanning op lage-risicokwestbaarheden

Niet-erkende Kwetsbaarheden (uitgesloten)

Voorbeelden die niet in aanmerking komen:

  • HTTP 404/andere non-200 codes, content spoofing op deze pagina’s
  • Versiebanners of openbaar toegankelijke bestanden (robots.txt e.d.)
  • Clickjacking zonder impact
  • Ontbrekende Secure/HTTPOnly-cookies op niet-gevoelige cookies
  • OPTIONS-methode ingeschakeld
  • HTTP-header-issues (HSTS, X-Frame-Options, CSP, etc.)
  • SSL-configuratie-details (bijv. forward secrecy, zwakke ciphers)
  • SPF/DKIM/DMARC-issues
  • Oude softwareversies zonder werkende exploit
  • Metadata-informatie­lekken

Rapportageprocedure

  1. Ontvangstbevestiging binnen 3 dagen.
  2. We houden de onderzoeker op de hoogte van voortgang totdat het probleem is verholpen.
  3. Anoniem of onder pseudoniem melden is mogelijk; in dat geval is er geen follow-up mogelijk.

Beloning en Hall of Fame

  • Geldige meldingen krijgen vermelding in onze Hall of Fame (één vermelding per unieke kwetsbaarheid).
  • Voor kwetsbaarheden met CVSS v3.1 ≥ 9,0 kan na interne beoordeling een geldbeloning worden uitgekeerd.

Openbaarmaking

Publiceer pas na schriftelijke toestemming van Hacker B.V. óf zodra de kwetsbaarheid is verholpen.

Safe Harbor

Onderzoekers die binnen scope blijven, dit beleid volgen en geen data buiten hun onderzoek opslaan of delen, genieten bescherming tegen civiele claims en aangiftes op grond van art. 138ab Sr en verwante bepalingen. De Officier van Justitie behoudt altijd het recht tot vervolging.

Overig

  • Nederlands recht is van toepassing.
  • Wijzigingen worden gepubliceerd op hacker.nl/responsible-disclosure.
  • Vragen: info@hacker.nl

Zie je iets, meld het – samen houden we Hacker veilig.

Bedankt voor je bijdrage aan onze beveiliging.

info@hacker.nl
+31 6 426 408 54
Stationsstraat 11, 7607GX Almelo
Neem contact
Homepage
HomeContact
Over ons
Over onsBlog
Werken bij
Services
PenetratietestenZero-day & Exploit R&D
Legal
Algemene voorwaardenPrivacy verklaringCookiebeleidResponsible Disclosure
2025© Hacker B.V.