Verantwoordelijke openbaarmaking

Coret Genealogie hecht grote waarde aan de veiligheid van haar systemen. Ondanks de zorg voor de beveiliging kan het voorkomen dat er toch een zwakke plek is. Als u een zwakke plek in één van onze systemen heeft gevonden hoort Coret Genealogie dit graag, zodat we zo snel mogelijk maatregelen kunnen treffen. Coret Genealogie werkt graag samen met u om onze systemen beter te kunnen beschermen.

Inhoudsopgave

• Wat vraagt Coret Genealogie van u?
• Welke handelingen moeten vermeden worden?
• Wat u mag verwachten van Coret Genealogie?
• Welke kwetsbaarheden zijn er gemeld?
• Vragen over verantwoordelijke openbaarmaking?

Wat vraagt Coret Genealogie van u?

• Uw bevindingen te mailen naar responsibledisclosure@coret.org.
• Voldoende informatie te geven om het probleem te reproduceren zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
• Contactgegevens achter te laten zodat Coret Genealogie met u in contact kan treden om samen te werken aan een veilig resultaat. Laat minimaal een e-mailadres of telefoonnummer achter.
• De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.
• De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
• Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem, door geen handelingen te verrichten die verder gaan dan noodzakelijk voor het aantonen van het beveiligingsprobleem.

Welke handelingen moeten vermeden worden?

• Het plaatsen van malware.
• Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
• Het aanbrengen van veranderingen in het systeem.
• Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
• Het gebruik maken van het zogeheten "brute forcing" van toegang tot systemen.
• Het gebruik maken denial-of-service of social engineering.

Wat u mag verwachten van Coret Genealogie?

• Indien u bij de melding van een door u geconstateerde kwetsbaarheid in een systeem van Coret Genealogie aan alle bovenstaande voorwaarden voldoet, zullen we geen juridische consequenties verbinden aan deze melding.
• Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
• Wij sturen u binnen 2 werkdagen een ontvangstbevestiging.
• Wij reageren binnen 5 werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
• Wij houden u op de hoogte van de voortgang van het oplossen van het probleem.
• Coret Genealogie lost het door u geconstateerde beveiligingsprobleem in een systeem zo snel mogelijk, maar uiterlijk binnen 30 dagen, op. In onderling overleg kan worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, wordt gepubliceerd.
• In onderling overleg kunnen we, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.

Welke kwetsbaarheden zijn er gemeld? - Hall of fame

Date	Name	Vulnerability type	Effected part
2017-03-01	Kenny Hietbrink	Cross-site scripting (XSS)	Open Archives searchresultspage
2017-03-02	Kenny Hietbrink	Cross-site scripting (XSS)	Cross-search API van Coret Genealogy
2017-03-02	Elyesa in der Maur	Cross-site scripting (XSS)	Genealogie Online helppages
2017-04-03	@secuninja	Cross-site scripting (XSS)	Open Archives homepage
2017-04-24	Huy Kha @HuyKha_10	Cross-site scripting (XSS)	Stamboom Gids searchresultpage
2017-04-25	Robert Wiggins	Cross-site scripting (XSS)	Stamboom Gids searchresultpage
2017-04-28	Damian Ebelties	Cross-site scripting (XSS)	Genealogie Online familynamespage
2017-04-28	Damian Ebelties	Cross-site scripting (XSS)	OAI tool
2017-04-28	Pethuraj	Cross-site scripting (XSS)	Stamboom Forum profilepage, searchpictures and familynamespage
2017-04-28	Pethuraj	Cross-site scripting (XSS)	Genealogy Online new publicationspage
2017-04-29	Raju Patil	Cross Site Request Forgery (CRSF)	Open Archive password change page
2017-04-29	Raju Patil	Cross-site scripting (XSS)	Open Archives searchresultspage
2017-04-29	Raju Patil	SQL Injectie	Cross-search API
2017-05-05	Sajibe Kanti	Content Spoofing	Coret Genealogy 404-page
2017-06-30	Damian Ebelties	Cross-site scripting (XSS)	OAI tool
2017-08-27	Raju Patil	Cross Site Scripting (XSS)	A2A validation service
2018-02-01	Ali Hassan Ghori	Cross-site scripting (XSS)	Coret Genealogy
2018-07-13	lacroute serge	Reflected XSS	Open Archives viewer
2018-11-03	Chirag Gupta	Readable REST API	Wordpress blog
2018-11-09	lacroute serge	Cross-site scripting (XSS)	Stamboom Forum recent subjects page
2019-05-06	Saima Usman	Cross-site scripting (XSS)	Open Archives search (placename)
2019-05-10	Kerem Tamcı	Cross-site scripting (XSS)	Open Archives overview2 page
2020-01-18	Yogeshwaran Chandrasekaran	Improper Data Validation & Broken Authentiction	Genealogy Online password reset
2020-01-27	4N_CURZE	Cross-site scripting (XSS)	Genealogy Online language selector
2020-03-31	4N_CURZE	Cross-site scripting (XSS)	Genealogy Online unescaped url parameter
2020-06-01	Script_Kiddie	Cross-site scripting (XSS)	Open Archives language setting page
2021-06-26	gaurang maheta	Security Misconfiguration	Genealogie Online showing composer.json/lock
2022-11-01	Kasper Karlsson of omegapoint.se	Cross-site scripting (XSS)	Genealogie Online search
2024-10-05	Cheripally Sathwik	Reflected Cross Site Scripting (RXSS)	Genealogie Online publication search
2024-11-14	Aluri Hruthik	Cross-site scripting (XSS)	Genealogy Online pedigree page

Grote dank aan de hierboven genoemde beveiligingsexperts voor hun meldingen!

Vragen over Verantwoordelijke openbaarmaking?

Als u nog vragen heeft over de wijze waarop Coret Genealogie met responsible disclosure omgaat, neem dan gerust contact via responsibledisclosure@coret.org. We helpen u graag.