Responsible Disclosure Program

Klik hier voor de Engelstalige versie

Bij Marktplaats nemen wij de veiligheid van gebruikers serieus en wij streven er naar om je van een veilig gebruik van onze websites te verzekeren. Bij een juiste melding zullen wij alle gerechtvaardigde meldingen van zwakke plekken in de beveiliging snel onderzoeken en trachten om mogelijke problemen op te lossen. Wij hebben een 'Responsible Disclosure Policy' vastgesteld om meldingen te stimuleren.

Wij onderkennen de belangrijke rol van beveiligingsonderzoekers en onze gebruikers in het beveiligd houden van Marktplaats en van onze klanten. Als je denkt dat je een zwakke plek heeft gevonden, willen wij met je samenwerken om dit zo spoedig mogelijk te onderzoeken. Stuur ons a.u.b. zo veel mogelijk informatie om ons de aard en omvang van het mogelijke probleem beter te doen begrijpen.

Verantwoord beleid inzake bekendmaking

Indien je een zwakke plek op de site of het product ontdekt, word je verzocht dit aan ons te melden aan de hand van de onderstaande richtlijnen. Als je ons een redelijke termijn geeft om te reageren op je melding alvorens informatie bekend te maken en als je de nodige inspanningen verricht om schendingen van privacy, vernietiging van data en onderbreking of verslechtering van onze dienst tijdens je onderzoek te voorkomen, zullen wij geen rechtszaak tegen je beginnen of justitie verzoeken onderzoek naar je te doen, tenzij wij gronden hebben om te geloven dat je handelen niet te goeder trouw is.

Richtlijnen voor verantwoorde bekendmaking

  • Deel het beveiligingsprobleem met ons zonder dit op message boards, mailing lists en andere fora openbaar te maken.
  • Gun ons een redelijke termijn (tenminste 30 dagen vanaf het moment waarop wij je melding in deze procedure ontvangen) om te reageren op het probleem alvorens het aan anderen bekend te maken.
  • Verstrek de volledige gegevens van het beveiligingsprobleem, inclusief Proof-of-Concept URL, de details van het systeem waar de tests zijn uitgevoerd en gedetailleerde weergave van de stappen die je hebt genomen.

Verricht geen beveiligingsonderzoek waarbij het volgende betrokken is:

  • Mogelijke of feitelijke schade aan gebruikers, systemen, data of applicaties.
  • Gebruik van een exploit
  • Om data van andere gebruikers te bekijken,
  • waarbij de corruptie van data betrokken is,
  • dat functies uitvoert die onze diensten kunnen verstoren.
        • Het gebruik van port scans op onze netwerkblokken of het uitvoeren van DDoS aanvallen.


Melding van zwakke plekken in de beveiliging

Als je denkt dat je een zwakke plek heeft ontdekt in de beveiliging in een website die door Marktplaats wordt gehost, word je verzocht een melding te maken, met een gedetailleerde toelichting van de zwakke plek via Hackerone: https://hackerone.com/marktplaats

Vergeet niet om de volledige gegevens van het beveiligingsprobleem op te nemen, inclusief Proof-of-Concept URL, de details van het systeem waar de tests zijn uitgevoerd en een gedetailleerde weergave van de stappen die je hebt doorlopen. Geef a.u.b. ook in je melding aan op welke manier de zwakke plek kwetsbaar is. Bijvoorbeeld via:

  • Authentication/Authorization
  • Cross-Site Scripting (XSS)
  • Cross-site request forgery (CSRF)
  • Injection (XML, SQL)
  • Information leakage


Wil je spam of misbruik melden? Stuur dan een e-mail naar:

Spam melden - spam@marktplaats.nl
Misbruik melden - abuse@marktplaats.nl

Voor andere vragen of meldingen kun je contact met ons opnemen via ons contactformulier.

Premie zwakke plek in de beveiliging

Om blijk te geven van onze waardering voor onze beveiligingsonderzoekers en gemeenschap, bieden wij een premie in geld voor bepaalde in aanmerking komende zwakke plekken in de beveiliging. Dit werkt als volgt:

Wanneer je in aanmerking komt voor een premie

Om in aanmerking te komen voor een premie, dient u:

  • Zich te houden aan onze responsible disclosure voorwaarden; Geef ons een redelijke termijn (tenminste 30 dagen vanaf het moment waarop wij je melding in deze procedure ontvangen) om te reageren op je melding alvorens informatie bekend te maken en span je in om schendingen van privacy, vernietiging van data en onderbreking of verslechtering van onze service tijdens je onderzoek te voorkomen;
  • De eerste te zijn die verantwoord en volledig melding maakt van de zwakke plek (waaronder de stappen om een en ander ter reconstrueren);
  • Meldt een zwakke plek die de integriteit of privacy van Marktplaats gebruikersdata zou kunnen compromitteren.
  • Remote Code Injection (SQL); en
  • Te goeder trouw te handelen.


Ons beveiligingsteam zal elke zwakke plek beoordelen om te bepalen of deze in aanmerking komt.

Beloningen

  • Een normale premie is een PayPal voucher ter waarde van € 350. XSS, CSRF & click hacking zwakke plekken zijn uitgesloten van dit programma. Uiteraard zijn wij wel blij met je melding en zullen een blijk van waardering uitsturen.
  • Wij kunnen de beloning voor bepaalde gemelde zwakke plekken verhogen, maar het uiteindelijke bedrag wordt bepaald door Marktplaats.
  • Per melding van een zwakke plek wordt slechts 1 premie toegekend.

Uitsluitingen

De volgende zwakke plekken in de beveiliging komen NIET in aanmerking voor een premie (en wij raden ten zeerste af om deze te onderzoeken):

  • Zwakke plekken in de beveiliging in applicaties van derden.
  • Zwakke plekken in de beveiliging op websites van derden die integreren met een eCG Marktplaats website.
  • DDoS aanvallen
  • Spam of Social Engineering technieken.
  • Het systematisch afgaan van mogelijkeheden (Brute force)

Indien gebruikers/particulieren zich niet aan de bovengenoemde gedragslijnen houden, behouden wij het recht voor om geëigende (juridische) stappen te nemen en/of aangifte te doen.

Deze eCG Marktplaats Gedragslijnen voor Zwakke plekken in de Beveiliging zijn onderworpen aan Nederlands recht. 



Creative Commons License
This work is licensed under a Creative Commons Attribution-ShareAlike 3.0 Unported License.

Omhoog