Responsible disclosure

Ethische veiligheidsmelding

De Stad Aalst vindt het belangrijk dat haar informatie en systemen veilig zijn.

Ondanks onze zorg voor de beveiliging van deze systemen, kan het gebeuren dat er toch een kwetsbaarheid is.

Als je een kwetsbaarheid in één van onze systemen hebt gevonden, dan horen wij dit graag zodat de stad zo snel mogelijk maatregelen kan treffen. Stad Aalst wil graag met jou samenwerken om ons publiek en onze systemen beter te kunnen beschermen.

Daarom koos ze voor een beleid van gecoördineerde bekendmaking van kwetsbaarheden (ook gekend als ‘Responsible Disclosure Policy’), zodat je ons kan informeren wanneer je een kwetsbaarheid ontdekt.

Deze Responsible Disclosure Policy is van toepassing op alle systemen van de Stad Aalst. Bij elke twijfel vragen we om contact op te nemen om duidelijkheid te verkrijgen via infosec@aalst.be.

Hoe een kwetsbaarheid melden?

Als je een kwetsbaarheid ontdekt in één van onze systemen, vragen wij om:

De kwetsbaarheid zo snel mogelijk na de ontdekking te melden. Mail je bevindingen naar infosec@aalst.be en versleutel ze met onze PGP key om te voorkomen dat de informatie in verkeerde handen valt.
Voldoende informatie te geven om de kwetsbaarheid te reproduceren zodat de stad het probleem zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
Je contactgegevens achter te laten, zodat de Stad Aalst met jou in contact kan treden om samen te werken aan een veilig resultaat. Laat minstens je naam, e-mailadres en/of telefoonnummer achter. Melden onder een pseudoniem is mogelijk, maar zorg ervoor dat de stad je kan contacteren als ze bijkomende vragen heeft.
Te bevestigen dat je conform deze Responsible Disclosure Policy hebt gehandeld en zult blijven handelen.

Regels die je dient na te leven

De kwetsbaarheid niet openbaar maken totdat de stad dit heeft kunnen corrigeren. Zie hieronder voor eventuele publicatie achteraf.
De kwetsbaarheid niet misbruiken door onnodig data te kopiëren, te verwijderen, aan te passen of in te kijken. Of door bijvoorbeeld meer data te downloaden dan nodig is om de kwetsbaarheid aan te tonen.
De volgende handelingen niet toepassen:
- Het plaatsen van malware (virus, worm, Trojaans paard...).
- Het kopiëren, wijzigen of verwijderen van gegevens in een systeem.
- Het aanbrengen van veranderingen in het systeem.
- Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
- Het gebruikmaken van geautomatiseerde scantools.
- Het gebruikmaken van het zogeheten 'bruteforcen' van toegang tot systemen.
- Het gebruikmaken van denial-of-service of social engineering (phishing, vishing, spam...).
Geen gebruikmaken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
Alle gegevens die zijn verkregen via de kwetsbaarheid meteen wissen na de melding.
Geen handelingen uitvoeren die een mogelijke impact kunnen hebben op de goede werking van het systeem, zowel naar beschikbaarheid als naar performantie toe, maar ook naar confidentialiteit en integriteit van de data toe.

Handelingen onder deze Responsible Disclosure Policy moeten beperkt blijven tot het uitvoeren van tests om potentiële kwetsbaarheden te identificeren, en het delen van deze informatie met de Stad Aalst.

Indien je, nadat de kwetsbaarheid is verwijderd, over de kwetsbaarheid wenst te publiceren, verzoeken wij je om ons dit minstens één maand voor de publicatie te melden en om ons de mogelijkheid te geven hierop te reageren. Ons identificeren, rechtstreeks of onrechtstreeks, in een publicatie kan slechts na ons uitdrukkelijk akkoord.

Wat wij beloven

Als je je aan bovenstaande voorwaarden van de Responsible Disclosure Policy hebt gehouden en geen andere inbreuken hebt begaan, zal de stad geen juridische stappen tegen jou ondernemen.
Stad Aalst reageert binnen een korte termijn, indien mogelijk binnen de 10 werkdagen, op jouw melding met onze beoordeling van de melding en een eventuele verwachte datum voor een oplossing.
Stad Aalst behandelt jouw melding vertrouwelijk en deelt jouw persoonsgegevens niet zonder jouw toestemming met derden, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
Stad Aalst houdt je op de hoogte van de voortgang van het oplossen van het probleem.
Als dank voor elke melding van een voor de stad nog onbekend beveiligingsprobleem, biedt de stad de mogelijkheid om vermeld te worden in onze 'Hall of Fame'.
Stad Aalst streeft ernaar om alle problemen binnen een korte termijn op te lossen.
Stad Aalst mag ervoor kiezen om meldingen van lagere kwaliteit te negeren.

Met vragen kun je terecht bij infosec@aalst.be.

Gelieve bij twijfel over de toepasbaarheid van deze policy eerst contact op te nemen via dit e-mailadres, om expliciete toestemming te vragen.

Wij behouden ons het recht voor om de inhoud van deze Policy op elk gewenst moment te wijzigen, of om de Policy te beëindigen.

Deze tekst is een afgeleid werk van 'Responsible Disclosure' van Floor Terra, gebruikt onder een Creative Commons Naamsvermelding 3.0 licentie.

Hall of fame

Inti De Ceukelaire (2x)
Jimmy Bruneel
Olivier Van de Velde - @vdvcoder (2x)
Mathieu Duffeler
Shaun Budding - @pudsec (5x)
Kunal Narsale - http://linkedin.com/in/kunal-n-3b9587135 (2x)
Nitin Gavhane
Sakshi Patil - https://www.linkedin.com/in/sakshi-patil-569369188 (3x)
Chetan Pathade - https://www.linkedin.com/in/chetan-pathade
Raj Sharma - https://www.linkedin.com/in/raj-sharma-588313161 (2x)
Dhanu Maalaian - @dhanumaalaian (2x)
Pritam Mukherjee - https://www.linkedin.com/in/pritam-mukherjee-urvil-b75ab9b9
Gourab Sadhukhan - https://www.linkedin.com/in/gourab-sadhukhan-71158216a
Anjali Prakash
Virendra Yadav - https://www.linkedin.com/in/virendra-yadav-9232b115a
Jeya Seelan - https://in.linkedin.com/in/jeyaseelans
Badal Sardhara (2x) - https://www.linkedin.com/in/badal-sardhara-9b43a41a5
Bindiya Sardhara
Raajesh - https://www.linkedin.com/in/raajesh-258a93173
Pethuraj M - https://www.pethuraj.com / https://www.pethuraj.in
Deepak Dhiman - @Virdoex_hunter
Shubham Panchal - https://www.linkedin.com/in/shubham-panchal-636744161
Pawan Rawat - https://www.linkedin.com/in/pawan-rawat-00111819b
Abdeali Mangalorewala - @abd53 - https://www.linkedin.com/in/abdeali-hm-b4529b1b0 (3x)
Suneel Abbireddi - https://www.linkedin.com/in/suneel-abbireddi-5b3153129
Kinshuk Kumar - https://www.linkedin.com/in/kinshuk-kumar-4833551a1 (2x)
Souvik Mondal - https://www.linkedin.com/in/souvik-mondal-8b3a0a1b3 (2x)
Samuel Goret (7x)
Rishabh Lalchand Pardeshi - https://www.linkedin.com/in/rishabh-pardeshi-1b3163190
Sachin Kalkumbe - https://www.linkedin.com/in/sachin-kalkumbe-462824201
Mani Sashank (3x) - https://www.linkedin.com/in/manisashank
Atilla Balin - https://www.linkedin.com/in/abalin/
Girish B O - https://www.linkedin.com/in/girish-b-o-a410bb1bb
Kasper Karlsson
Durvesh Kolhe - https://www.linkedin.com/in/durvesh-kolhe-012b54211
Joel Mathias

(namen in volgorde van datum eerste melding)