Responsible Disclosure

Heb je een kwetsbaarheid ontdekt? Laat het ons weten.

Bij Pon Holdings B.V. en haar dochterondernemingen zien we de beveiliging van onze systemen, netwerken en online diensten als onze hoogste prioriteit. We zijn ervan overtuigd dat goede beveiliging essentieel is om het vertrouwen te behouden dat onze klanten, leveranciers en medewerkers in ons stellen. Ondanks de continue inspanning die we leveren om onze beveiliging te optimaliseren, kunnen er nog steeds kwetsbaarheden bestaan.

Heb je de vaardigheden om kwetsbaarheden in onze systemen te ontdekken, dan vragen we je deze zo snel mogelijk bij ons te melden. Daarmee help je ons om onze beveiliging en betrouwbaarheid te verbeteren. Ons responsible disclosure beleid is geen uitnodiging om ons bedrijfsnetwerk actief en gedetailleerd te scannen, omdat we onze netwerken al actief monitoren.

Waar dit programma NIET voor bedoeld is

Let op: dit meldkanaal is uitsluitend bedoeld voor IT beveiligingskwetsbaarheden. Het is niet bedoeld voor:

  • Het indienen van klachten over diensten of producten van Pon Holdings B.V.
  • Vragen of klachten over de beschikbaarheid van onze websites of diensten.
  • Het melden van fraude of vermoedens van fraude.
  • Het melden van valse e‑mails of phishing e‑mails.
  • Het melden van malware of virussen.

Wat je WEL kunt melden

We zijn op zoek naar meldingen van ernstige kwetsbaarheden die aantoonbaar reële impact hebben op onze beveiliging. Voorbeelden van kwalificerende kwetsbaarheden zijn:

  • Remote Code Execution (RCE)
  • Cross‑Site Scripting (XSS) kwetsbaarheden
  • Cross‑Site Request Forgery (CSRF) op gevoelige acties
  • SQL Injection kwetsbaarheden
  • Tekortkomingen met betrekking tot encryptie
  • Ongeautoriseerde toegang tot gevoelige data

Niet kwalificerende kwetsbaarheden

Om ervoor te zorgen dat onze beveiligingsspecialisten zich kunnen richten op kritieke kwesties, zijn de volgende soorten meldingen expliciet uitgesloten. Meldingen die onder deze categorieën vallen worden geclassificeerd als informatief/ongeldig en komen niet in aanmerking voor een beloning:

  • Elke melding zonder een duidelijke proof of concept die potentiële exploitatie aantoont.
  • Meldingen die uitsluitend gebaseerd zijn op output van geautomatiseerde tools (bijvoorbeeld poortscanners, AI gegenereerde rapporten).
  • Kwetsbaarheden gevonden op sites van organisaties die geen onderdeel meer zijn van Pon Holdings B.V.
  • E‑mailconfiguratieproblemen zoals ontbrekende of foutief geconfigureerde SPF, DKIM of DMARC records.
  • CSRF kwetsbaarheden op statische of niet geauthenticeerde pagina’s.
  • Ontbrekende HTTP Security Headers (zoals HSTS, X‑Frame‑Options) of clickjacking, vooral op niet‑inlogpagina’s.
  • Ontbrekende HttpOnly of Secure flags op niet gevoelige cookies.
  • Redirect van HTTP naar HTTPS.
  • HTML zonder charset of met een onbekende charset.
  • Gecachte pagina’s of HTTP Trace Method.
  • HTTPS responspagina’s of user enumeration op websites waar geen gevoelige data of transacties aanwezig zijn.
  • Mogelijke aanwezigheid van verouderde server‑ of applicatieversies (banner grabbing) zonder concreet bewijs van exploiteerbaarheid.
  • Server fingerprinting of versie‑informatie van onderliggende technologieën, frameworks of softwarecomponenten zonder concreet bewijs van exploiteerbaarheid.
  • Meldingen van onveilige SSL/TLS protocollen, ontbrekende CAA records of OSCP stapling issues zonder een exploiteerbaar scenario.
  • Generieke kwetsbaarheden in software of protocollen die niet direct onder beheer van Pon vallen.
  • Distributed Denial of Service (DDoS) aanvallen.
  • Rate limiting kwetsbaarheden.
  • Spam, social engineering of fysieke beveiligingsaanvallen.
  • EXIF metadata in afbeeldingen of standaard webpagina’s met lage impact.

De Rules of Engagement

Tijdens je onderzoek kun je handelingen verrichten die strikt genomen onwettig zijn. Maar als je te goeder trouw, zorgvuldig en strikt volgens onderstaande regels handelt, ondernemen we geen juridische stappen tegen je.

  • Veroorzaak geen schade: zorg ervoor dat je onderzoek geen schade toebrengt aan onze systemen.
  • Geen social engineering: gebruik geen social engineering technieken tegen onze medewerkers of leveranciers om toegang te verkrijgen.
  • Geen serviceonderbreking: je handelingen mogen nooit leiden tot onderbreking of degradatie van onze dienstverlening.
  • Privacy van data: je onderzoek mag nooit leiden tot openbaarmaking van bedrijfs‑, medewerker‑ of klantgegevens.
  • Geen backdoors: plaats geen backdoors in welk systeem dan ook, ook niet om de kwetsbaarheid aan te tonen. Het plaatsen van een backdoor maakt het systeem juist minder veilig.
  • Wijzig of verwijder geen data: breng geen configuratie‑ of systeemwijzigingen aan.
  • Kopieer alleen wat nodig is: als je data moet kopiëren om een kwetsbaarheid aan te tonen, kopieer dan het absolute minimum dat nodig is (bijvoorbeeld 1 record). Als één record voldoende is, ga dan niet verder.
  • Beperk toegang: probeer slechts zo ver in een systeem door te dringen als strikt noodzakelijk. Krijg je toegang, deel deze dan niet met anderen.
  • Geen brute force: gebruik geen brute force technieken (het herhaaldelijk raden van wachtwoorden) om toegang te verkrijgen.

Hoe te melden

Meld je bevindingen zo snel mogelijk bij [email protected]. Wil je je melding versleutelen, geef dit dan aan in je e‑mail, dan voorzien we je van de benodigde instructies.

Om je melding efficiënt te kunnen verwerken, moet deze duidelijk en beknopt zijn. Vermeld in elk geval:

  • De exacte stappen die je hebt ondernomen.
  • De volledige URL of het IP‑adres van het betrokken systeem.
  • De specifieke objecten die betrokken zijn (bijvoorbeeld invoervelden, filters).
  • Concreet bewijs / Proof of Concept waarmee aangetoond wordt hoe het probleem te reproduceren is (bij voorkeur video of screenshots).
  • Een inschatting van het risico of de exploiteerbaarheid.
  • (Optioneel maar aangemoedigd) Een voorgestelde oplossing.

Beloningen

We moedigen iedereen aan om ontdekte kwetsbaarheden bij ons te melden. Ben je de eerste die een kwalificerende kwetsbaarheid meldt en houd je het probleem vertrouwelijk totdat het is opgelost, dan kom je mogelijk in aanmerking voor een beloning.

De hoogte van de beloning is afhankelijk van de ernst van het probleem, het type getroffen systeem en de kwaliteit van de melding.

Er wordt geen beloning toegekend voor meldingen van niet kwalificerende kwetsbaarheden, meldingen zonder bewijs van exploiteerbaarheid, of bij enig teken van misbruik. Meerdere meldingen van dezelfde kwetsbaarheid met minimale verschillen worden behandeld als één melding.

Om onnodige verwerking van je persoonsgegevens te voorkomen worden onze beloningen uitgekeerd in de vorm van Amazon cadeaubonnen.

Let op: Pon behoudt zich het exclusieve recht voor om te bepalen of een melding in aanmerking komt voor een beloning. Alle beslissingen zijn definitief en we gaan na beoordeling van een melding niet verder in discussie of correspondentie over beloningen.