Bug Bounty Program & Responsible Disclosure

Bij Nocks vinden we beveiliging van onze systemen erg belangrijk. Ondanks onze grote zorg voor beveiliging zijn er altijd zwakke plekken of kwetsbaarheden te vinden.

Als je enige kwetsbaarheden in onze systemen hebt gevonden dan horen we dat natuurlijk graag zodat we de gepaste stappen kunnen nemen. We willen graag met je samenwerken om onze systemen én onze gebruikers nog beter te beschermen.


Onze productie-omgeving heeft geautomatiseerde hacker-detectie en blokkeert bezoekers die aan bepaalde criteria voldoen. We hebben om die reden een aparte omgeving ingericht die je kan gebruiken zonder hinder van deze maatregelen.


Deze omgeving gebruikt speelgeld en is niet verbonden met de productie-omgeving. Om meer te leren over hoe we speelgeld verwerken, bekijk je de documentatie.


Gebruik alsjeblieft de volgende URL voor je research: https://hackme.nocks.com

We vragen je

* Om enige bevindingen in te dienen met de volgende URL: rd_url.

* Om geen misbruik te maken van de kwestie of het probleem verder te benutten door meer gegevens te downloaden dan nodig is om de fout aan te geven of gegevens van derden en/of Nocks-gebruikers te bekijken, te verwijderen of aan te passen.

* Het probleem of bug niet met anderen te delen totdat het probleem is opgelost en alle vertrouwelijke gegevens die door de inbreuk zijn verkregen, zijn verwijderd.

* Om geen enkele vorm van aanval te gebruiken op de fysieke veiligheid, social engineering, denial of service, spam of applicaties van derden.

* Geef de juiste informatie om het probleem te reproduceren zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP of de URL van het betreffende systeemdeel en een beschrijving van de fout voldoende, maar bij complexere problemen kunnen meer gegevens nodig zijn.


Wat wij beloven:

* Om binnen 3 werkdagen op berichtgeving te beantwoorden met onze beoordeling en een inschatting te geven wanneer we verwachten dat we klaar zijn met een oplossing.

* Als je aan bovenstaande voorwaarden hebt voldaan, zullen wij geen wettelijke maatregelen overwegen om jouw bevindingen bekend te maken.

* Wij behandelen de bemerkingen als vertrouwelijk en delen jouw persoonlijke gegevens niet zonder toestemming met derden, tenzij wij daartoe wettelijk verplicht zijn. Openbaarmaking onder een pseudoniem is mogelijk.

* Wij houden je op de hoogte tijdens het proces van het oplossen van het probleem.

* Voor het vinden van de gevonden kwetsbaarheid kunnen we, als je dat wil, jouw naam vermelden om je te bedanken voor jouw assistentie en als dank voor jouw hulp bieden we royale bounties aan voor het onthullen van bugs die we nog niet hadden ontdekt. De omvang van de premie wordt bepaald op basis van de ernst van de kwetsbaarheid en de kwaliteit van de openbaarmaking.

We streven ernaar alle gevonden issues zo snel mogelijk op te lossen en blijven graag op de hoogte van enige publicaties omtrent de issue nadat deze is gefixt.

N
© 2018