Optimale responsible disclosure met een security.txt policy

Bij LinQhost vinden we security erg belangrijk en proberen we altijd voorop te lopen. Helaas is het de realiteit dat iedereen wel eens wat over het hoofd ziet. Dit is bij ons niet anders!

Er zijn echter genoeg hackers (whitehatters) die het leuk vinden om (data)lekken te vinden en deze te melden aan bedrijven. In het verleden durfden weinig hackers dit te melden, bang om aangeklaagd te worden. Gelukkig zien we steeds meer dat bedrijven zich relaxed opstellen en graag lering willen trekken uit het incident.

LinQhost zelf heeft al sinds jaren een aparte bounty pagina. Op deze pagina leggen wij uit waar je je kunt melden als je een lek bij ons hebt gevonden. Ook geven wij de garantie dat wij geen aangifte doen tegen de melder als deze zich aan onze spelregels heeft gehouden.

security.txt

Om te zorgen dat beveiligingslekken op een correcte en doeltreffende manier gemeld kunnen worden is er een universele standaard in ontwikkeling. De standaard is nog in ontwikkeling en staat op de nominatie om een eigen RFC-nummer te krijgen. In theorie zouden er dus nog een paar zaken kunnen wijzigen.

Het idee is erg simpel: je plaatst een security.txt bestand op de webserver waar je in aangeeft wie verantwoordelijk voor de beveiliging is en de link naar een pagina met je eventuele bedrijfs responsible disclosure. Je kan dit zelf doen door:

  1. Maak een .well-known map aan in de webroot indien deze nog niet aanwezig is.
  2. Genereer een security policy op https://securitytxt.org/#generate.
  3. Plaats de gegenereerde security policy in het security.txt bestand en plaats deze in de .well-known map.

Conclusie

Er is eigenlijk geen enkele reden om niet zelf een responsible disclosure beleid te publiceren voor je bedrijf. Het voorkomen van een groot datalek
door middel van responsible disclosure kan je bedrijf veel geld besparen en nog belangrijker: imago schade voorkomen!

Een paar tips voor een goede disclosure:

  • Zorg voor duidelijke spelregels.
  • Gebruik geen dreigende taal. Een hacker mag een probleem melden en hoeft helemaal niets.
  • Zorg voor een (kleine) beloning.
  • De meeste hackers praten niet Nederlands, gebruik dus Engels.
  • Reageer adequaat op een melding.
  • Gebruik een security.txt policy zodat de hacker snel contact met je kan opnemen.

Voor de kosten hoef je het niet laten; op wat tijd na, kost het je helemaal niets!