Een kwetsbaarheid in de beveiliging ontdekt?

Laat het ons weten

Kwetsbaarheden gevonden op onderstaande ESET-websites

Onze samenwerking met HackTrophy helpt ons om potentiële problemen voor te blijven. Houd ons op de hoogte van eventuele beveiligingsproblemen op onze website en claim je beloning.

ESET

www.eset.com

myESET

my.eset.com
login.eset.com
parentalcontrol.eset.com
anti-theft.eset.com

ESET Business Account

eba.eset.com
identity.eset.com

Rapporteer via HackTrophy

Kwetsbaarheden gevonden in ESET-producten of op andere websites

Als je denkt dat je een kwetsbaarheid hebt gevonden in een ESET-product of webapplicatie, kun je ons daarvan op vertrouwelijke wijze op de hoogte brengen. Elke geldige melding wordt beloond.

Als je denkt dat je een kwetsbaarheid hebt gevonden in een ESET-product of webapplicatie, kun je ons daarvan op vertrouwelijke wijze op de hoogte brengen. Elke geldige melding wordt beloond.

Stuur ons een bericht

Lees voordat u het rapport indient het Rapportbeleid en het Kwetsbaarheden buiten de scope gedeelte.

Houd er rekening mee dat we geen politieonderzoek of rechtszaak tegen u zullen starten voor de inhoud van het rapport.

Gevoelige en persoonlijke informatie

Probeer nooit toegang te krijgen tot persoonlijke gegevens of gevoelige informatie. Volg deze stappen als u gevoelige of persoonlijke informatie verkrijgt tijdens uw beveiligingsonderzoek:

- Stop onmiddellijk met uw onderzoek of acties die gegevens of persoonlijke informatie bevatten

- U mag geen activiteiten opslaan, kopiëren, openbaar maken, overdragen of uitvoeren met betrekking tot gegevens of persoonlijke informatie

- Waarschuw ons onmiddellijk en ondersteun ons in de mitigatie-inspanning

Kwetsbaarheden buiten de scope

Webapplicaties

  • Rapporten van geautomatiseerde tools of scans
  • Denial of Service aanvallen
  • 'Man in the Middle' aanvallen
  • Aanvallen die fysieke toegang tot het apparaat van de gebruiker vereisen
  • Hypothetische kwesties die geen praktische impact hebben
  • Openbaar toegankelijke inlogpanelen zonder bewijs van exploitatie
  • Bevindingen die voornamelijk zijn afgeleid van social engineering (bijv. phishing, vishing, smishing) & andere niet-technische aanvallen
  • Informatieve problemen met een geringe ernst
  • Spamming
  • Clickjacking en problemen alleen bruikbaar via clickjacking
  • Vingerafdruk/banner onthulling op gemeenschappelijke/publieke diensten
  • Problemen met de e-mailconfiguratie (SPF, DKIM, DMARC-instellingen)
  • Beschrijvende foutmeldingen (bijv. Stack Traces, applicatie- of serverfouten)
  • HTTP 404-codes/pagina's of andere HTTP-codes/pagina's die niet 200 zijn
  • Openbaarmaking van bekende openbare of niet-gevoelige bestanden of mappen (bijv. robots.txt, crossdomain.xml of andere beleidsbestanden, wildcard aanwezigheid/misconfiguratie in deze bestanden)
  • Niet-standaard HTTP-methode ingeschakeld
  • Ontbrekende veiligheidskoppen (zoals strikte transportbeveiliging, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
  • Gebrek aan Secure/HTTP Only/SameSite vlaggen op niet-gevoelige cookies
  • Open redirect die niet kan worden gebruikt om gevoelige informatie te exfiltreren (sessiecookies, OAuth tokens)
  • Beheersvraagstukken met meerdere gelijktijdige actieve sessies
  • Host-header-injectie Aanvallen
  • Self-XSS en problemen die alleen via Self-XS exploiteerbaar zijn
  • CSRF op formulieren die beschikbaar zijn voor anonieme gebruikers (bijvoorbeeld het contactformulier)
  • CSRF bij uitloggen
  • Aanwezigheid van toepassing of webbrowser 'autocomplete' of 'save password' functionaliteit
  • Wachtwoord vergeten pagina brute force en account lock-out niet afgedwongen
  • Gebruikersnaam/e-mail opsomming zonder verdere impact
  • Tariefbeperkende kwesties
  • Zwakke Captcha/Captcha Bypass
  • Gebruik van een bekende kwetsbare bibliotheek zonder een beschrijving van een exploit specifiek voor onze implementatie
  • SSL-kwesties (voorbeeld: zwakke/onveilige versleuteling, BEAST, BREACH, heronderhandelingsaanval, enz.)

Product vulnerabilities

  • dll injecties in ESET installatiebestanden
  • Geen SSL in update/download servers 
  • Tapjacking

Rapportbeleid

  • Neem contact met ons op via security@eset.com
  • Rapporten en alle gerelateerde materialen zijn versleuteld met onze PGP public key
  • Vermeld de naam van uw organisatie en contactpersoon
  • Schrijf een duidelijke beschrijving van de mogelijke kwetsbaarheid
  • Voeg alle informatie toe die nodig is om de potentiële kwetsbaarheid te valideren
  • Vermeld het ESET-product en de module-versie (zie KB product and KB module om het versienummer te bepalen) in rapporten met betrekking tot het product
  • Productgerelateerde rapporten moeten indien van toepassing een logestand van ESET SysInspector bevatten
  • Proof of Concept – geef een zo gedetailleerd mogelijke beschrijving, inclusief screenshots of video (markeer deze als privé bij het uploaden naar een streaming service)
  • Mitigatiesuggesties worden zeer op prijs gesteld
  • Neem de impact op van de potentiële kwetsbaarheid die u verwacht te hebben voor de gebruikers, ESET-medewerkers of anderen.
  • Openbaarmakingsplannen, indien van toepassing
  • Moet in de Engelse taal zijn geschreven

Houd er rekening mee dat de rapporten die voldoen aan de criteria van het gedeelte "Out of Scope" of die niet voldoen aan ons rapportbeleid, kunnen worden afgewezen.

ESET is een groot voorstander, maar ook een beoefenaar van het openbaarmakingsproces en erkent de rapporteurs voor hun inspanningen als zij niet anoniem willen blijven.

BEDANKT.