Heb je een beveiligingslek ontdekt?

Laat het ons weten

Kwetsbaarheden gevonden op onderstaande ESET-websites

Onze samenwerking met Hacktrophy helpt ons potentiële bedreigingen voor te blijven. Laat het ons weten over eventuele beveiligingsproblemen op onze websites. Bevestigde rapporten op onderstaande websites worden gecompenseerd met geldelijke beloningen.

*ESET Global-website omvat subservices go.eset.com, cookie.eset.com, search.eset.com, captcha.eset.com en api.eset.com

Kwetsbaarheden gevonden in ESET producten of ESET websites

Als je denkt dat je een kwetsbaarheid hebt gevonden in een ESET-product of webapplicatie, kun je ons daarvan op vertrouwelijke wijze op de hoogte brengen. Elke geldige melding wordt beloond.

Stuur ons een bericht

Lees voordat u het rapport indient het gedeelte Rapportbeleid en Buiten bereik. Elk rapport ontvangt de eerste update binnen drie werkdagen (8x5 CET) via security@eset.com. Automatisch antwoord wordt verzonden wanneer het rapport met succes in het systeem is gemaakt en wacht op feedback van de beveiligingsspecialist. Ons doel is om binnen 90 dagen een oplossing te bieden voor een bevestigde kwetsbaarheid. Bevestigde en vaste meldingen worden beloond met een goodiebag.

Houd er rekening mee dat we geen politieonderzoek of rechtszaak tegen u zullen starten voor de inhoud van het rapport.

Gevoelige en persoonlijke informatie

Probeer nooit toegang te krijgen tot persoonlijke gegevens of gevoelige informatie. Volg deze stappen als u gevoelige of persoonlijke informatie verkrijgt tijdens uw beveiligingsonderzoek:

- Stop onmiddellijk met uw onderzoek of acties die gegevens of persoonlijke informatie bevatten

- U mag geen activiteiten opslaan, kopiëren, openbaar maken, overdragen of uitvoeren met betrekking tot gegevens of persoonlijke informatie

- Waarschuw ons onmiddellijk en ondersteun ons in de mitigatie-inspanning

Kwetsbaarheden buiten de scope

Rapporten van geautomatiseerde tools of scans
Denial of Service aanvallen
'Man in the Middle' aanvallen
Aanvallen die fysieke toegang tot het apparaat van de gebruiker vereisen
Hypothetische kwesties die geen praktische impact hebben
Openbaar toegankelijke inlogpanelen zonder bewijs van exploitatie
Bevindingen die voornamelijk zijn afgeleid van social engineering (bijv. phishing, vishing, smishing) & andere niet-technische aanvallen
Informatieve problemen met een geringe ernst
Spamming
Clickjacking en problemen alleen bruikbaar via clickjacking
Vingerafdruk/banner onthulling op gemeenschappelijke/publieke diensten
Problemen met de e-mailconfiguratie (SPF, DKIM, DMARC-instellingen)
Beschrijvende foutmeldingen (bijv. Stack Traces, applicatie- of serverfouten)
HTTP 404-codes/pagina's of andere HTTP-codes/pagina's die niet 200 zijn
Openbaarmaking van bekende openbare of niet-gevoelige bestanden of mappen (bijv. robots.txt, crossdomain.xml of andere beleidsbestanden, wildcard aanwezigheid/misconfiguratie in deze bestanden)
Niet-standaard HTTP-methode ingeschakeld
Ontbrekende veiligheidskoppen (zoals strikte transportbeveiliging, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
Gebrek aan Secure/HTTP Only/SameSite vlaggen op niet-gevoelige cookies
Open redirect die niet kan worden gebruikt om gevoelige informatie te exfiltreren (sessiecookies, OAuth tokens)
Beheersvraagstukken met meerdere gelijktijdige actieve sessies
Host-header-injectie Aanvallen
Self-XSS en problemen die alleen via Self-XS exploiteerbaar zijn
CSRF op formulieren die beschikbaar zijn voor anonieme gebruikers (bijvoorbeeld het contactformulier)
CSRF bij uitloggen
Aanwezigheid van toepassing of webbrowser 'autocomplete' of 'save password' functionaliteit
Wachtwoord vergeten pagina brute force en account lock-out niet afgedwongen
Gebruikersnaam/e-mail opsomming zonder verdere impact
Tariefbeperkende kwesties
Zwakke Captcha/Captcha Bypass
Gebruik van een bekende kwetsbare bibliotheek zonder een beschrijving van een exploit specifiek voor onze implementatie
SSL-kwesties (voorbeeld: zwakke/onveilige versleuteling, BEAST, BREACH, heronderhandelingsaanval, enz.)

Problemen die kunnen worden opgelost door het toevoegen van een opsporingshandtekening
DLL injecties
DLL Hijacking
Geen SSL in update/download servers
Lokale AV-engine wordt omzeild
Tapjacking
Bekende kwetsbaarheden in componenten van derden

Rapportbeleid

Neem contact met ons op via security@eset.com
Rapporten en alle gerelateerde materialen zijn versleuteld met onze PGP public key
Vermeld de naam van uw organisatie en contactpersoon
Schrijf een duidelijke beschrijving van de mogelijke kwetsbaarheid
Voeg alle informatie toe die nodig is om de potentiële kwetsbaarheid te valideren
Vermeld het ESET-product en de module-versie (zie KB product and KB module om het versienummer te bepalen) in rapporten met betrekking tot het product
Productgerelateerde rapporten moeten indien van toepassing een logestand van ESET SysInspector bevatten
Proof of Concept – geef een zo gedetailleerd mogelijke beschrijving, inclusief screenshots of video (markeer deze als privé bij het uploaden naar een streaming service)
Mitigatiesuggesties worden zeer op prijs gesteld
Neem de impact op van de potentiële kwetsbaarheid die u verwacht te hebben voor de gebruikers, ESET-medewerkers of anderen.
Wij verzoeken de melder om alle communicatie over kwetsbaarheid confidentieel te houden
Openbaarmakingsplannen, indien van toepassing
Moet in de Engelse taal zijn geschreven

Houd er rekening mee dat de rapporten worden afgewezen:

als ze voldoen aan de criteria van het gedeelte "Out of Scope"
niet voldoen aan ons rapportbeleid
wordt gedupliceerd, alleen het originele rapport van de eerste melder wordt in aanmerking genomen

De melder zal op de hoogte worden gebracht van elke update in het proces van herstel/mitigatie.