Heb je een beveiligingslek ontdekt?

Laat het ons weten

Kwetsbaarheden gevonden op onderstaande ESET-websites

Onze samenwerking met Hacktrophy helpt ons potentiële bedreigingen voor te blijven. Laat het ons weten over eventuele beveiligingsproblemen op onze websites. Bevestigde rapporten op onderstaande websites worden gecompenseerd met geldelijke beloningen.

ESET Global Website*

www.eset.com
buy.eset.com

ESET Protect Cloud

protect.eset.com

ESET Home

home.eset.com
login.eset.com
parentalcontrol.eset.com
anti-theft.eset.com
passwordmanager.eset.com

ESET Business Account

eba.eset.com
identity.eset.com

Rapporteer via HackTrophy

*ESET Global-website omvat subservices go.eset.com, cookie.eset.com search.eset.com en api.eset.com

Kwetsbaarheden gevonden in ESET producten of ESET websites

Als je denkt dat je een kwetsbaarheid hebt gevonden in een ESET-product of webapplicatie, kun je ons daarvan op vertrouwelijke wijze op de hoogte brengen. Elke geldige melding wordt beloond.

Als je denkt dat je een kwetsbaarheid hebt gevonden in een ESET-product of webapplicatie, kun je ons daarvan op vertrouwelijke wijze op de hoogte brengen. Elke geldige melding wordt beloond.

Stuur ons een bericht

Lees voordat u het rapport indient het gedeelte Rapportbeleid en Buiten bereik. Elk rapport ontvangt de eerste update binnen drie werkdagen (8x5 CET) via security@eset.com. Automatisch antwoord wordt verzonden wanneer het rapport met succes in het systeem is gemaakt en wacht op feedback van de beveiligingsspecialist. Ons doel is om binnen 90 dagen een oplossing te bieden voor een bevestigde kwetsbaarheid. Bevestigde en vaste meldingen worden beloond met een goodiebag.

Houd er rekening mee dat we geen politieonderzoek of rechtszaak tegen u zullen starten voor de inhoud van het rapport.

Gevoelige en persoonlijke informatie

Probeer nooit toegang te krijgen tot persoonlijke gegevens of gevoelige informatie. Volg deze stappen als u gevoelige of persoonlijke informatie verkrijgt tijdens uw beveiligingsonderzoek:

- Stop onmiddellijk met uw onderzoek of acties die gegevens of persoonlijke informatie bevatten

- U mag geen activiteiten opslaan, kopiëren, openbaar maken, overdragen of uitvoeren met betrekking tot gegevens of persoonlijke informatie

- Waarschuw ons onmiddellijk en ondersteun ons in de mitigatie-inspanning

Kwetsbaarheden buiten de scope

Webapplicaties

  • Rapporten van geautomatiseerde tools of scans
  • Denial of Service aanvallen
  • 'Man in the Middle' aanvallen
  • Aanvallen die fysieke toegang tot het apparaat van de gebruiker vereisen
  • Hypothetische kwesties die geen praktische impact hebben
  • Openbaar toegankelijke inlogpanelen zonder bewijs van exploitatie
  • Bevindingen die voornamelijk zijn afgeleid van social engineering (bijv. phishing, vishing, smishing) & andere niet-technische aanvallen
  • Informatieve problemen met een geringe ernst
  • Spamming
  • Clickjacking en problemen alleen bruikbaar via clickjacking
  • Vingerafdruk/banner onthulling op gemeenschappelijke/publieke diensten
  • Problemen met de e-mailconfiguratie (SPF, DKIM, DMARC-instellingen)
  • Beschrijvende foutmeldingen (bijv. Stack Traces, applicatie- of serverfouten)
  • HTTP 404-codes/pagina's of andere HTTP-codes/pagina's die niet 200 zijn
  • Openbaarmaking van bekende openbare of niet-gevoelige bestanden of mappen (bijv. robots.txt, crossdomain.xml of andere beleidsbestanden, wildcard aanwezigheid/misconfiguratie in deze bestanden)
  • Niet-standaard HTTP-methode ingeschakeld
  • Ontbrekende veiligheidskoppen (zoals strikte transportbeveiliging, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
  • Gebrek aan Secure/HTTP Only/SameSite vlaggen op niet-gevoelige cookies
  • Open redirect die niet kan worden gebruikt om gevoelige informatie te exfiltreren (sessiecookies, OAuth tokens)
  • Beheersvraagstukken met meerdere gelijktijdige actieve sessies
  • Host-header-injectie Aanvallen
  • Self-XSS en problemen die alleen via Self-XS exploiteerbaar zijn
  • CSRF op formulieren die beschikbaar zijn voor anonieme gebruikers (bijvoorbeeld het contactformulier)
  • CSRF bij uitloggen
  • Aanwezigheid van toepassing of webbrowser 'autocomplete' of 'save password' functionaliteit
  • Wachtwoord vergeten pagina brute force en account lock-out niet afgedwongen
  • Gebruikersnaam/e-mail opsomming zonder verdere impact
  • Tariefbeperkende kwesties
  • Zwakke Captcha/Captcha Bypass
  • Gebruik van een bekende kwetsbare bibliotheek zonder een beschrijving van een exploit specifiek voor onze implementatie
  • SSL-kwesties (voorbeeld: zwakke/onveilige versleuteling, BEAST, BREACH, heronderhandelingsaanval, enz.)

Product vulnerabilities

  • dll injecties in ESET installatiebestanden
  • Geen SSL in update/download servers 
  • Tapjacking

Rapportbeleid

  • Neem contact met ons op via security@eset.com
  • Rapporten en alle gerelateerde materialen zijn versleuteld met onze PGP public key
  • Vermeld de naam van uw organisatie en contactpersoon
  • Schrijf een duidelijke beschrijving van de mogelijke kwetsbaarheid
  • Voeg alle informatie toe die nodig is om de potentiële kwetsbaarheid te valideren
  • Vermeld het ESET-product en de module-versie (zie KB product and KB module om het versienummer te bepalen) in rapporten met betrekking tot het product
  • Productgerelateerde rapporten moeten indien van toepassing een logestand van ESET SysInspector bevatten
  • Proof of Concept – geef een zo gedetailleerd mogelijke beschrijving, inclusief screenshots of video (markeer deze als privé bij het uploaden naar een streaming service)
  • Mitigatiesuggesties worden zeer op prijs gesteld
  • Neem de impact op van de potentiële kwetsbaarheid die u verwacht te hebben voor de gebruikers, ESET-medewerkers of anderen.
  • Openbaarmakingsplannen, indien van toepassing
  • Moet in de Engelse taal zijn geschreven

Houd er rekening mee dat de rapporten die voldoen aan de criteria van het gedeelte "Out of Scope" of die niet voldoen aan ons rapportbeleid, kunnen worden afgewezen.

ESET is een groot voorstander, maar ook een beoefenaar van het openbaarmakingsproces en erkent de rapporteurs voor hun inspanningen als zij niet anoniem willen blijven.

BEDANKT.