Beleid voor gecoördineerde openbaarmaking van kwetsbaarheden (CVD)

Bij Coinmerce nemen we de beveiliging van onze systemen, producten en diensten serieus. We waarderen de bijdragen van beveiligingsonderzoekers en de bredere beveiligingsgemeenschap bij het helpen handhaven van een hoog beveiligingsniveau.

Dit beleid voor gecoördineerde kwetsbaarheidsmelding (CVD) beschrijft hoe we met u willen samenwerken om potentiële kwetsbaarheden te identificeren en op te lossen. We zetten ons in voor een transparante en samenwerkingsgerichte aanpak van kwetsbaarheidsmeldingen.

Het doel van dit CVD-beleid is ervoor te zorgen dat kwetsbaarheden op gecoördineerde wijze worden geïdentificeerd, gemeld en verholpen, waarbij het risico voor onze gebruikers, gegevens en diensten wordt geminimaliseerd.

Dit beleid is van toepassing op kwetsbaarheden die zijn gevonden in de volgende door Coinmerce beheerde/eigen systemen, producten en diensten:

• Binnen scope:
  • http[s]://coinmerce.io
  • Coinmerce brokerageplatform, blog, carrièrewebsite
• Buiten scope:
  • Systemen of diensten die worden gehost door externe leveranciers (tenzij zij direct invloed hebben op onze systemen binnen scope en u toestemming heeft van de derde partij).
  • Kwetsbaarheden in software van derden die wij gebruiken maar niet bezitten (meld deze rechtstreeks bij de leverancier, al stellen wij het op prijs als u ons informeert wanneer dit onze systemen raakt).

Als u niet zeker weet of een systeem of product binnen scope valt, neem dan contact met ons op via [email protected] voordat u met onderzoek begint.

Als u denkt dat u een kwetsbaarheid heeft ontdekt, meld dit dan zo snel mogelijk aan ons door:

• Uw bevindingen te e-mailen naar [email protected]

Vermeld bij het melden voldoende informatie om ons te helpen de kwetsbaarheid te begrijpen, te reproduceren en aan te pakken. Dit omvat doorgaans:

• Een duidelijke beschrijving van de kwetsbaarheid, inclusief het type kwetsbaarheid.
• Het/de IP-adres(sen), de URL('s) of het specifieke systeem-/productonderdeel dat is getroffen.
• Stapsgewijze instructies om de kwetsbaarheid te reproduceren.
• Proof-of-concept (bijv. scripts, screenshots of video indien nuttig).
• Geschatte impact van de kwetsbaarheid.
• Uw contactgegevens (tenzij u anoniem wilt blijven, hoewel het verstrekken van contactgegevens ons helpt in het proces en ons in staat stelt u publiekelijk te erkennen, indien gewenst).

We vragen je om verantwoordelijk en te goeder trouw te handelen bij het onderzoeken en melden van kwetsbaarheden:

• Meld snel: Meld de kwetsbaarheid zo snel mogelijk na ontdekking aan het aangewezen e-mailadres (versleuteld) om het risico te minimaliseren dat anderen deze vinden en misbruiken.
• Geef voldoende details: Deel voldoende informatie zodat wij het probleem kunnen begrijpen en reproduceren.
• Breng geen schade toe:
  • Misbruik de kwetsbaarheid niet verder dan strikt noodzakelijk is om het bestaan ervan aan te tonen; houd het proportionaliteitsbeginsel in gedachten. Download, wijzig, verwijder of exfiltreer bijvoorbeeld geen gegevens die niet van jou zijn. Als je toegang krijgt tot niet-openbare gegevens, stop dan je activiteit en meld dit onmiddellijk. Dit proportionaliteitsbeginsel is ook relevant bij het aantonen van de kwetsbaarheid zelf. Als je bijvoorbeeld toegang kunt krijgen tot het CRM dat onze website aandrijft, volstaan screenshots van de beheerinterface – je hoeft de website niet te defacen. Als je toegang kunt krijgen tot een database, is het doorgaans voldoende om ons een lijst te laten zien van de tabellen die daarin staan in plaats van deze te droppen.
  • Verstoor onze diensten of systemen niet (bijv. geen DDoS-aanvallen).
  • Neem geen contact op met onze klanten zonder dit eerst met ons te bespreken.
  • Ga niet over tot social engineering, phishing of fysieke aanvallen tegen onze medewerkers, gebruikers of infrastructuur.
  • Gebruik geen geautomatiseerde kwetsbaarheidsscanners die zonder voorafgaand overleg met ons grote hoeveelheden verkeer kunnen genereren.
• Handhaaf vertrouwelijkheid: Maak de kwetsbaarheid niet aan anderen bekend totdat wij een redelijke gelegenheid hebben gehad om deze te onderzoeken en te verhelpen, of totdat een overeengekomen openbaarmakingstermijn is bereikt. Je verwijdert alle vertrouwelijke informatie die je mogelijk hebt verkregen uit je onderzoek naar ons zodra wij de kwetsbaarheid hebben opgelost.
• Voldoe aan wet- en regelgeving: Houd je aan alle toepasselijke wetten en regelgeving.

• Bevestiging: We bevestigen de ontvangst van je melding, doorgaans binnen 3 werkdagen.
• Eerste beoordeling & tijdlijn: We geven een eerste beoordeling van de melding en een verwachte tijdlijn voor herstel, doorgaans binnen 5 werkdagen. Deze tijdlijn is afhankelijk van de complexiteit en ernst van de kwetsbaarheid. Voor softwarekwetsbaarheden streven we doorgaans naar oplossing binnen ongeveer 60 dagen; voor hardware kan dit langer duren. We communiceren eventuele significante afwijkingen van deze tijdlijn.
• Vertrouwelijkheid: We behandelen je melding strikt vertrouwelijk. Je persoonlijke gegevens worden niet met derden gedeeld zonder je uitdrukkelijke toestemming, tenzij dit wettelijk vereist is.
• Regelmatige updates: We houden je op de hoogte van onze voortgang bij het oplossen van de kwetsbaarheid.
• Juridische stappen: Als je je kwetsbaarheidsonderzoek en -melding te goeder trouw en in overeenstemming met dit beleid uitvoert, verplicht Coinmerce zich om geen juridische stappen tegen je te ondernemen met betrekking tot het opstellen van je melding en het delen ervan (uitsluitend) met Coinmerce. We beschouwen activiteiten die volledig aan dit beleid voldoen als "geautoriseerd" handelen binnen de in de inleiding genoemde reikwijdte.
• Publieke erkenning (met jouw toestemming):
  • Nadat de kwetsbaarheid is opgelost, erkennen we graag publiekelijk je bijdrage, tenzij je liever anoniem blijft. Dit kan het vermelden van je naam of alias op onze website omvatten, in een "Hall of Fame" of in releasenotes.
  • Als blijk van onze waardering kunnen we je een beloning aanbieden (zoals merchandise, een cadeaubon of een geldelijke bounty) voor meldingen van bepaalde nieuwe (bij ons onbekende), significante kwetsbaarheden. De aard en hoogte van de beloning worden bepaald op basis van de ernst, impact en kwaliteit van de melding.
• Gecoördineerde openbaarmaking: We werken met je samen om de publieke openbaarmaking van de kwetsbaarheid te coördineren nadat deze is verholpen. We geven er de voorkeur aan om de bredere IT-community en crypto-community te informeren als de kwetsbaarheid mogelijk ook elders aanwezig is.

Duidelijke en tijdige communicatie is essentieel voor een succesvol CVD-proces.

• Tijdens het proces: We zullen ons inspannen om open communicatie te behouden, updates te geven over onze voortgang en indien nodig om verduidelijking te vragen. We verwachten ook dat u tijdig reageert op onze vragen.
• Updates: Dit CVD-beleid kan van tijd tot tijd worden bijgewerkt. We vermelden de versie en de datum van de laatste update bovenaan dit beleid. We moedigen u aan om het periodiek te bekijken.

Als u vragen heeft over dit beleid of het CVD-proces, neem dan contact met ons op via [email protected].