Beveiliging & kwetsbaarheidsmelding
Heb je een kwetsbaarheid gevonden? Laat het ons weten. We lezen elke melding van te goeder trouw handelende onderzoekers en bevestigen binnen 72 uur.
Reikwijdte
Dit beleid omvat de Wesprs-website op wesprs.com, onze API op api.wesprs.com en de Wesprs-iOS-app. Problemen in diensten van derden waarnaar we linken, of in software die we niet beheren, vallen erbuiten — meld die bij de partij die ze beheert.
Binnen de reikwijdte vallen de gebruikelijke verdachten: authenticatie en sessiebeheer, toegangscontrole, injectie, onze handhaving van grof-geo en vergankelijkheid, de pijplijn die beeld-metadata verwijdert, en alles wat gegevens zou kunnen blootleggen waarvan we beloven ze niet te bewaren.
Hoe je meldt
Mail naar [email protected] met genoeg details om het probleem te reproduceren: het getroffen eindpunt of scherm, de stappen en de impact. Een proof-of-concept helpt. Moet je gevoelige details sturen, vraag ons dan om een sleutel en we richten een versleuteld kanaal in.
Onze machineleesbare contactgegevens volgen RFC 9116 en zijn gepubliceerd op wesprs.com/.well-known/security.txt.
Wat je van ons mag verwachten
We bevestigen een geldige melding binnen 72 uur. We houden je op de hoogte terwijl we triëren, aan een oplossing werken en die verifiëren. We streven naar een snelle oplossing en vertellen je eerlijk wanneer een oplossing tijd kost en waarom.
We hanteren gecoördineerde openbaarmaking: geef ons een redelijke termijn om een probleem op te lossen voordat je het publiceert, en we vermelden je op verzoek met naam — of houden het stil als je dat liever hebt.
Safe harbour
Als je te goeder trouw dit beleid probeert na te leven, behandelen we je onderzoek als geautoriseerd. We zullen geen juridische stappen tegen je ondernemen of ondersteunen wegens onbedoelde, te goeder trouw gemaakte overtredingen, en we melden je niet bij de politie zolang je binnen dit beleid test.
Te goeder trouw betekent: test alleen accounts en gegevens die van jou zijn of die je mag gebruiken; benader, wijzig of verwijder geen gegevens van anderen; voer geen denial-of-service-, spam-, social-engineering- of fysieke aanvallen uit; stop zodra je een kwetsbaarheid hebt bevestigd en meld die; en geef ons tijd om te reageren voordat je openbaar maakt. Twijfel je of iets binnen de grenzen valt, vraag het dan eerst via [email protected].
Nog geen beloning
We hebben in dit stadium geen betaald bug-bounty-programma, en dat zeggen we liever ronduit dan een beloning te suggereren die we niet bieden. We waarderen onderzoek te goeder trouw oprecht, vermelden je met jouw toestemming publiekelijk en voeren mogelijk later een beloning in. Een echte melding beschermt mensen die ons bewust maar heel weinig gegevens hebben toevertrouwd.
Contact
Wesprs wordt geëxploiteerd door Digital Services LLC, 27, Takaishvili st., Batumi, Georgië, 6004.
Beveiligingsmeldingen: [email protected]. Gegevensbeschermingszaken: [email protected].
Als een datalek jou treft, volgen we de meldplicht zoals beschreven in ons Privacybeleid.
- security · [email protected]
- dpo · [email protected]
- security.txt · wesprs.com/.well-known/security.txt