Responsible Disclosure

In scope

De volgende AhaSend-systemen vallen binnen de scope voor beveiligingsonderzoek:

• Webdashboard — app.ahasend.com (accountbeheer, API-sleutels, domeininstellingen, facturering)
• Marketingwebsite — ahasend.com
• REST API — api.ahasend.com (e-mailverzending, webhooks, domeinverificatie, logtoegang)
• SMTP-relayinfrastructuur — smtp.ahasend.com
• Inkomende e-mailroutering — webhook-bezorgingseindpunten
• CLI-tool — de officiële AhaSend CLI (open source)

We zijn met name geïnteresseerd in meldingen over: authenticatie en sessiebeheer, blootstelling van API-sleutels of privilege-escalatie, data-isolatie tussen accounts, misbruik van SMTP-inloggegevens en injectiekwetsbaarheden.

Buiten scope

Het volgende valt expliciet buiten de scope. Meldingen over deze onderwerpen worden niet in behandeling genomen:

• Social engineering-aanvallen gericht op AhaSend-medewerkers of -klanten
• Denial-of-service (DoS/DDoS)-aanvallen of tests voor resource-uitputting
• Fysieke aanvallen op datacenters of kantoorlocaties
• Kwetsbaarheden in diensten of infrastructuur van derden die wij niet beheren (bijv. Hetzner, Cloudflare, Stripe)
• Geautomatiseerde scanneruitvoer zonder proof-of-concept of aangetoonde impact
• E-mailspam of phishingcampagnes — ook als deze gericht zijn op AhaSend-infrastructuur
• SSL/TLS-configuratierapporten gegenereerd door geautomatiseerde tools (bijv. SSL Labs)

Als je niet zeker weet of jouw bevinding binnen de scope valt, meld het toch — we laten je weten hoe het zit.

Hoe te melden

Stuur je melding naar [email protected]. Schrijf alsjeblieft in het Engels of Nederlands.

Een goede melding bevat het volgende:

• Beschrijving — Wat is de kwetsbaarheid en waar heb je die gevonden?
• Stappen om te reproduceren — Duidelijke, stapsgewijze instructies waarmee wij het probleem kunnen nabootsen.
• Impact — Wat kan een aanvaller hiermee doen? Welke gebruikers of gegevens worden getroffen?
• Proof of concept — Een screenshot, HTTP-verzoek/respons of een minimaal script dat het probleem aantoont. We accepteren geen meldingen die uitsluitend gebaseerd zijn op geautomatiseerde tooluitvoer.
• Jouw contactgegevens — Zodat we contact met je kunnen opnemen. Je mag anoniem melden, maar dan kunnen we je niet informeren over de oplossing.

Raadpleeg, wijzig of verwijder geen gegevens die niet van jou zijn. Gebruik een testaccount voor je onderzoek — je kunt je registreren voor een gratis AhaSend-account zonder creditcard.

Wat je kunt verwachten

We nemen elke melding serieus. Dit is wat er gebeurt nadat je een melding hebt ingediend:

• Bevestiging binnen 48 uur — We bevestigen de ontvangst van je melding en kennen een intern referentienummer toe.
• Wekelijkse statusupdates — We houden je gedurende het hele onderzoeks- en herstelproces op de hoogte van onze voortgang.
• Validatie binnen 10 werkdagen — We laten je weten of het probleem bevestigd is, een bekend probleem is of buiten de scope valt.
• Hersteltermijn van 90 dagen — We streven ernaar geldige kwetsbaarheden binnen 90 dagen na bevestiging op te lossen. Kritieke problemen krijgen prioriteit en worden doorgaans binnen 14 dagen opgelost.
• Melding bij oplossing — We informeren je wanneer de kwetsbaarheid is gepatcht en vragen om jouw akkoord voordat we de melding sluiten.

We vragen je de details van je melding vertrouwelijk te houden totdat we de gelegenheid hebben gehad het probleem te onderzoeken en te verhelpen. We stemmen een openbaarmakingstijdlijn met je af.

Safe Harbor

AhaSend B.V. zal geen juridische stappen ondernemen tegen onderzoekers die:

• Kwetsbaarheden te goeder trouw ontdekken en melden, dit beleid volgend
• Geen gegevens raadplegen, wijzigen of exfiltreren buiten het minimum dat nodig is om de kwetsbaarheid aan te tonen
• AhaSend-diensten of klantactiviteiten niet verstoren of degraderen
• Bevindingen niet gebruiken voor persoonlijk gewin of om AhaSend of haar klanten te schaden
• Het probleem bij ons melden vóór enige publieke of openbaarmaking aan derden

We beschouwen beveiligingsonderzoek dat in overeenstemming met dit beleid wordt uitgevoerd als geautoriseerd handelen. We zullen onderzoekers niet doorverwijzen naar wetshandhaving voor kwalificerend onderzoek en zullen redelijke inspanningen leveren om hen te verdedigen tegen juridische claims van derden.

Door een kwetsbaarheidsmelding in te dienen, verleen je AhaSend B.V. een niet-exclusieve, eeuwigdurende, royaltyvrije licentie om de informatie in de melding te gebruiken ter verbetering van de beveiliging van onze producten en diensten.