Voorwaarden en beleid
Catawiki Responsible Disclosure Verklaring

Bedankt dat je de tijd hebt genomen om deel te nemen aan ons Responsible Disclosure programma. 

Bij Catawiki beschouwen we de veiligheid van onze systemen als topprioriteit. Beveiliging speelt een sleutelrol bij de ontwikkeling en levering van onze diensten.

Hieronder vind je onze richtlijnen voor het indienen van bugrapporten bij Catawiki, zodat we ze effectief kunnen aanpakken.

De assets die onder onze controle vallen, omvatten https://www.catawiki.com of pagina's die voortkomen uit het inloggen op het https://www.catawiki.com platform. Dit geldt echter niet voor toepassingen van derden die we gebruiken, maar die we niet direct controleren. Denk hierbij aan alle blog-, carrière- of marketingwebsites die niet gehost worden op het Catawiki domein, of GCP, of kwetsbaarheden van een cloudplatform.


Wat we graag willen dat je doet

  • Rapporteer kwetsbaarheden met CVSS-scores, als ze die hebben, die van toepassing zijn op onze website en hoe ze kunnen worden uitgebuit.
  • Neem video's en foto's op in je rapport; ze worden enorm gewaardeerd!
  • Stuur voorbeelden van waar kwaadaardige bestanden kunnen worden geüpload binnen ons platform.
  • Stuur meldingen van kwetsbare netwerkpoorten of -services.
  • Rapporteer beveiligingslekken waarbij validatie, CSRF of anderszins, faalt, waardoor beveiligingscontroles kunnen worden omzeild of genegeerd.


Wat je niet moet doen

  • Rapporteer geen kwetsbaarheden die worden gemeld door tools of scanners van derden zonder proof of concept waarmee de kwetsbaarheid kan worden aangetoond.
  • Gelieve geen kwetsbaarheden met betrekking tot wachtwoorden te melden waar misbruik van wordt gemaakt door middel van brute force aanvallen, woordenboekaanvallen, of andere methoden voor het raden van wachtwoorden.
  • Probeer geen DDoS-aanvallen of soortgelijke verstorende aanvallen uit te voeren.
  • Probeer geen spamaanvallen uit te voeren, tenzij er sprake is van een kwetsbaarheid die het gemakkelijk verzenden van spam mogelijk maakt.
  • Rapporteer geen kwetsbaarheden die verband houden met accountverificatie of wachtwoordbeleid.
  • Rapporteer geen kwetsbaarheden die verband houden met een Self-XSS aanval.
  • Rapporteer geen kwetsbaarheden die verband houden met een ontbrekend Certificate Authority Authorization (CAA)-record voor de domeinnaam van Catawiki.

Als je onze bovenstaande gedragscode niet hebt gevolgd, behoudt Catawiki zich het recht voor om juridische stappen tegen je te ondernemen. Deze gedragscode voor het melden van beveiligingskwetsbaarheden bij Catawiki valt onder Nederlands recht.

Daarnaast verzoeken we je om het BugCrowd-platform niet te gebruiken voor vragen of klachten met betrekking tot de diensten van Catawiki of gebruikersmateriaal op het platform. Mocht je vragen of klachten hebben die niet gerelateerd zijn aan de beveiligingskwetsbaarheid van onze systemen, raadpleeg dan ons helpcentrum en neem indien nodig contact op met onze Klantenservice.

Meld je aan of registreer je voor een hackersaccount op BugCrowd om deel te nemen aan ons Responsible Disclosure programma.


Gegevensbescherming

Het Responsible Disclosure programma valt onder het privacybeleid van Catawiki. We verwerken echter slechts beperkte persoonsgegevens voor de meldingen die je doet. Catawiki maakt gebruik van BugCrowd om het melden van kwetsbaarheden te ondersteunen. Je kunt dit doen door je BugCrowd-inloggegevens te gebruiken. Als je een account hebt, kan Catawiki je gebruikersnaam zien, maar geen andere persoonsgegevens die aan je account zijn gekoppeld. Alle gegevens die in een kwetsbaarheidsrapport worden opgenomen, worden verwerkt in ons interne ticketingsysteem en zijn alleen toegankelijk voor ons beveiligingsteam en eventueel voor technisch personeel. 

Was dit artikel nuttig?
Neem contact met ons op