Account Plan een demo
Terug
Terug
Terug

Security Vulnerability Reward Program

Help ons onze producten en netwerk veiliger te maken.

Over het programma

Voor Gifty is de veiligheid van onze producten en ons netwerk een hoge prioriteit. Bij het uitbrengen van nieuwe producten en updates besteden we veel aandacht aan het testen van de veiligheid en stabiliteit. Ondanks deze zorgvuldigheid, kan een zwakke plek over het hoofd gezien worden bij onze interne testen, waardoor deze publiek toegankelijk wordt. Heb je een veiligheidsprobleem in onze producten of ons netwerk gevonden? Meld dit probleem dan alsjeblieft zo snel mogelijk en voordat je hier publieke mededelingen over doet. Dit geeft ons de kans om, samen met jou, het probleem te verhelpen en misbruik te voorkomen.

Over Gifty

Gifty is een SaaS-bedrijf dat oplossingen biedt aan bedrijven op het gebied van cadeaubonnen, loyalty en marketing. Wij helpen bedrijven met het administreren en distribueren van hun cadeaubon over meerdere kanalen (webshop, kassasystemen, app, sociale media), transactieverwerking en het administreren en verzamelen van klantgegevens.

Richtlijnen voor onderzoekers

Volg deze richtlijnen wanneer je actief op zoek gaat naar beveiligingsproblemen:

  • Werk met test-accounts als je actief op zoek gaat naar problemen, die wij eenvoudig kunnen herkennen. Geef bij het registreren van accounts aan dat je aan het testen bent, door dit aan te geven in jouw e-mailadres met een plus-adres "secresearch". Bijvoorbeeld: [email protected].
  • Voer maximaal 10 verzoeken per seconde uit naar onze APIs en systemen.
  • Ga zorgvuldig om met de toegang die je verkrijgt tot systemen of gegevens. Verzamel nooit meer gegevens dan strikt noodzakelijk om het probleem aan te tonen. Bekijk, bewerk en verwijder nooit gegevens van derden.
  • Beschrijf duidelijk wat jouw bevinding is en deel een stappenplan zodat wij dit kunnen reproduceren. Ondersteun het stappenplan waar mogelijk met screenshots.
  • Verstuur een rapport van jouw bevindingen naar [email protected].
  • Deel het probleem niet met anderen totdat het probleem is opgelost en je hiervoor onze toestemming hebt ontvangen.

Verwerkingsproces

  • Jouw melding zullen we vertrouwelijk verwerken. We delen jouw persoonlijke gegevens niet zonder jouw toestemming met derden, tenzij dat noodzakelijk is om wettelijke verplichtingen na te komen. Je mag meldingen maken onder een pseudoniem.
  • Binnen 5 werkdagen bevestigen we de ontvangst van jouw rapport met een voorlopige beoordeling van de ernst en de verwachte tijdlijn voor het oplossen van het probleem.
  • Binnen 60 dagen, maar vaak al sneller, analyseren we het probleem en voeren we indien nodig wijzigingen door. We vragen je mogelijk om dit voor ons te verifiëren. Als we deze tijdlijn in uitzonderlijke situaties niet kunnen halen, communiceren we dit.

Bug Bounty

We willen het rapporteren van veiligheidsproblemen stimuleren en keren daarom bug bounties uit voor gemelde problemen die aan de voorwaarden voldoen. Zodra het probleem verholpen is delen we of de melding in aanmerking komt voor een bug bounty. De kwalificering van de ernst en of de melding in aanmerking komt wordt bepaald door Gifty.

Het bedrag van de bug bounty is afhankelijk van verschillende variabelen, zoals hoe aannemelijk is dat een kwetsbaarheid misbruikt wordt, hoe eenvoudig dit te doen is en welke schade dit tot gevolg zou hebben. Voor het vaststellen van de beloning houden wij de onderstaande tabellen als richtlijn aan.

Omgeving Laag Medium Hoog Kritiek
Primaire applicatie (api.gifty.nl, dashboard.gifty.nl) €50 €100 €350 €1.000
Secundaire applicaties (wallet.gifty.nl, insights.gifty.nl, *.docs.gifty.nl, *.pos.gifty.nl) x €75 €150 €500

In Scope

Domeinen:

  • api.gifty.nl
  • wallet.gifty.nl
  • dashboard.gifty.nl
  • insights.gifty.nl
  • docs.gifty.nl
  • backend.docs.gifty.nl
  • *.pos.gifty.nl

Systemen:

  • Dashboard (dashboard.gifty.nl)
  • Mobiele app voor bedrijven (iOS en Android)
  • Bestelmodule voor consumenten

Out of Scope

De volgende systemen en kwetsbaarheden vallen buiten ons Security Vulnerability Reward Program. Een uitzondering wordt gemaakt wanneer deze systemen aantoonbaar gebruikt kunnen worden om onze primaire systemen te misbruiken.

Diensten van derden:

  • CDN providers (behalve configuratie-fouten)
  • Payment Service Providers (behalve integratie-fouten)
  • E-mailproviders

Infrastructuur en netwerken:

  • Monitoring systemen (status.gifty.nl)
  • Development- en testomgevingen
  • Marketing-websites en systemen (blog.gifty.nl, gifty.nl)

Kwetsbaarheden met lage impact:

  • Missende HTTP-headers en cookie flags zonder aantoonbaar praktisch misbruik
  • Publicatie van server- en software-informatie (bijvoorbeeld via headers)
  • Ontbrekende rate-limiting
  • Theoretische veiligheidsproblemen zonder bewijs van misbruik
  • Edge-cases die een onrealistische combinatie van omstandigheden vereisen
  • Geautomatiseerde scans en rapporten
  • E-mail spoofing
  • DNSSEC gerelateerde problemen

Specifieke aanvalsmethoden:

  • Brute-forcing
  • CSRF op onbelangrijke acties en systemen
  • Self-XSS gerelateerde problemen
  • Social engineering attacks (waaronder phishing)
  • (D)DoS aanvallen
  • Veiligheidslekken waarvoor fysieke toegang tot onze systemen nodig is

Overige uitgesloten meldingen:

  • Storingen in onze diensten
  • Problemen waarvoor verouderde systemen of plugins nodig zijn
  • Problemen die al bij ons bekend zijn
  • Edge-cases die een onrealistische combinatie van omstandigheden vereisen
Samples aanvragen