WinkelwagenControlepaneel

Security.

TransIP Responsible Disclosure Policy

De veiligheid van onze systemen en onze gebruikers is voor ons enorm belangrijk. We hechten veel waarde aan het werk van ethische hackers en security-specialisten die ons hierbij helpen. Als je een kwestbaarheid ontdekt horen we dat graag van je via het Intigriti-platform.

Let op, we verwerken deze meldingen uitsluitend via Intigriti. Meldingen die via e-mail of andere wegen worden gedaan kunnen niet beloond worden.

Waarom Intigriti?

Het gebruik van het Initigriti-platform heeft meerdere voordelen:

  • Het is een beveiligd en beproefd platform voor het melden van kwestbaarheden.
  • Communicatie en feedback is gestructureerd en overzichtelijk.
  • Beloningen worden eenduidig vastgelegd en uitbetaling is vergemakkelijkt.
  • Anonimiteit voor specialisten en onderzoekers kan makkelijk geborgd worden.

Door centraal meldingen te beheren via Intigriti kunnen we een gemakkelijk en eerlijk proces garanderen voor alle betrokkenen.

Spelregels openbaarmaking

We vragen iedereen die deel wil nemen om zich aan de volgende regels te houden:

  • Vermijd schending van privacy, verslechtering van de gebruikerservaring, verstoring aan productiesystemen en vernietiging van gegevens tijdens je beveiligingstests.
  • Buit kwetsbaarheden niet verder uit dan nodig is om het punt te bewijzen en bewijs te leveren.
  • Voer geen social engineering of fysieke pen-testing uit.
  • Wees discreet met je bevindingen totdat we een kans hebben gehad het probleem te verhelpen.
     

Als je deze regels naleeft, beloven wij:

  • Je melding zo snel mogelijk te bekijken.
  • Je op de hoogte te houden van onze voortgang.
  • Je te belonen voor belangrijke vindingen.
  • Geen juridische stappen te ondernemen.

Welke systemen zijn in-scope?

In onze Intigriti-omgeving staat een uitgebreide lijst van systemen die wel en niet in-scope zijn voor het melden van kwetsbaarheden.

Hoe meld je een beveiligingskwetsbaarheid aan ons?

We werken samen met Intigriti, een vertrouwd "bug bounty" platform, om alle responsible disclosure meldingen af te handelen. Ons programma is besloten, waardoor je uitgenodigd moet zijn voor het platform om melding te kunnen doen.

Om toegang te krijgen:

  • Meld jezelf aan bij Intigrity.
  • E-mail ons je Intigriti gebruikersnaam op security@nl.team.blue .

Eenmaal uitgenodigd heb je toegang tot ons Intigriti-programma, waar je:

  • Een gedetailleerde lijst kunt inzien van welke systemen wel en niet in-scope zijn.
  • Welke voorwaarden er gelden voor security tests.
  • Wat de richtlijnen voor inzending zijn.
  • Welke beloningen er gelden voor belangrijke vondsten.

Hall of Fame

Cas Dijkstra

Found a vulnerability to circumvent our email verification.

LinkedIn

nil0x42

For pointing out a vulnerable library on one of our websites.

Twitter

Omnicron

Helped us fix a CSRF vulnerability.

Harinder Singh - Nick: S1N6H

Helped us reconfigure a few webservices as private when it was erroneously set to public.

LinkedIn

Gaurang Maheta

Helped us resolve a misconfiguration in a publically accessible service. 

LinkedIn

Remon

Helped us by alerting us about vulnerable servers. 

LinkedIn

Olivier Beg - Nick: Smiegles

Found out that it was possible to take over a subdomain which was directing to an unclaimed Cloudfront distribution. 

LinkedIn

Vivek Jain - Nick: rock2017

Found multiple small bugs which needed to be fixed to improve the overall security of our platform.

LinkedIn

Jacek Smit

Found a server which was open to the internet and was not properly configured.

LinkedIn

Yeasir Arafat

Found several XSS bugs throughout our platform. 

Website

Sandeep Kumar Yadav - Nick: SKY

Found an XSS vulnerability in the TransIP control panel. 

Facebook

Elyesa in der Maur

Found two XSS vulnerabilities within our platform. 

Website

d1m0ck

Found an open redirect on transip.nl

Twitter

Steven Prins – Nick: stepri

Helped us further improve rate-limiting in 2FA entry.

Twitter

iamsushi

Found a CSRF bug in GET requests.

Twitter

Mayur Parmar – Nick: The Cyber Cop

Found an XSS vulnerability on one of our platforms.

LinkedIn

Akash Sebastian

Helped us further improve rate-limiting in our password reset functionality.

Facebook

Pankaj Kumar Thakur

Found a content spoofing vulnerability on the TransIP website.

Twitter

Elumalai vasan - Nick: 7hills

Discovered multiple CSRF vulnerabilities on one of our platforms.

LinkedIn

DIWAKAR. S - Nick: who-is-mr-robot

Discovered a bruteforce vulnerability in our frontend.

LinkedIn

Shivam Kamboj Dattana

Found information being exposed on a public interface that should not be there.

Twitter

Jatin N

Demonstrated an attack vector on one of our communications channels.

Twitter

Mohd. Danish Abid

Discovered a potential DoS attack on our main site.

LinkedIn