Brussels Airlines Responsible-disclosurebeleid

Als Intigriti-onderzoeker kunt u goed verdienen. Als u bereid bent om uw activiteiten als ethisch hacker openbaar te maken, kunt u financiële beloningen ontvangen. Intigriti betaalt een beloning uit voor elke bug die u als eerste onderzoeker vindt en meldt. Let wel dat Intigriti geen registraties goedkeurt van anonieme onderzoekers.

Als uw kwetsbaarheidsmelding wordt geaccepteerd en u hiervoor erkenning wilt krijgen, kunnen we u toevoegen aan onze “Brussels Airlines InfoSec Hall of Fame”, met vermelding van uw naam of anoniem. Maar wees gerust, we voegen u alleen toe aan onze “Hall of Fame” als u hier expliciet om vraagt.

Als u uw naam en contactgegevens liever niet opgeeft, kunt u een kwetsbaarheid rechtstreeks melden aan Brussels Airlines. U moet zich er echter wel van bewust zijn dat we zonder deze informatie de volgende stappen niet met u kunnen bespreken en u ook niet toe kunnen voegen aan onze “Hall of Fame”.

Als u een kwetsbaarheid rechtstreeks aan ons wilt melden, kunt u een e-mail sturen naar ons beveiligingsteam:

​InfoSec@brusselsairlines.com

Onze specialisten zullen uw melding bekijken en meteen in behandeling nemen.

Zorg ervoor dat uw e-mail duidelijk en beknopt is. Vergeet vooral niet om de volgende informatie te vermelden:

• beschrijving van de ontdekte kwetsbaarheid of het risico;
• bewijs voor de ontdekking (bv. proof of concept, video, screenshot enz.);)
• de stappen die u hebt ondernomen;
• de volledige URL;
• eventueel betrokken voorwerpen.

Voorbeelden van kwetsbaarheden kunnen zijn:

• “cross-site scripting (XSS)”-kwetsbaarheden;
• SQL-injectiekwetsbaarheden;
• remote code execution;
• authentication bypass;
• versleutelingskwetsbaarheden.

Om de wettigheid van uw tests te garanderen, raden we aan om geen invasieve of destructieve technieken te gebruiken. Houd u altijd aan de volgende regels:

• Verstoor onze onlinediensten niet.
• Gebruik geen technieken die de beschikbaarheid van onze onlinediensten kunnen beïnvloeden.
• Breng geen wijzigingen aan in het systeem.
• Wijzig of verwijder geen gegevens in het systeem.
• Als u voor uw ontdekking een kopie van de gegevens van het systeem nodig hebt, kopieer dan niet meer dan nodig is voor uw onderzoek. Indien één bestand volstaat, kopieer dan niet meer dan dat.
• Maak geen klant- of bedrijfsgegevens openbaar.
• Creëer geen achterdeur in een systeem.
• Probeer niet dieper in het systeem binnen te dringen dan noodzakelijk is. Als u erin slaagt om in het systeem binnen te dringen, deel de verkregen toegang dan niet met anderen.
• Gebruik geen “brute force”-technieken (bv. herhaaldelijk wachtwoorden invoeren) om toegang te krijgen tot het systeem.
• Gebruik geen social engineering om toegang te krijgen tot onze IT-systemen.

Volg deze richtlijnen voor het beste resultaat:

• Stel uw melding op in het Nederlands, Frans of Engels. Meldingen in andere talen worden niet behandeld.
• Geef ons voldoende details zodat we de kwetsbaarheid kunnen reproduceren.
• Geef ons genoeg tijd om de kwetsbaarheid te verhelpen voordat we informatie openbaar maken.
• Overleg eerst met ons voordat u informatie openbaar maakt.
• Vraag niet aan Brussels Airlines om u te vergoeden voor uw melding.

We hebben de volgende verplichtingen ten opzichte van u:

• We zullen u laten weten dat we uw melding hebben ontvangen.
• We zullen u een schatting geven van hoe lang de herstelling zal duren.
• We zullen u op de hoogte brengen wanneer we de kwetsbaarheid hebben verholpen.

Uw persoonlijke informatie wordt alleen gebruikt om contact met u op te nemen over uw kwetsbaarheidsmelding. Zonder uw toestemming zullen we uw persoonsgegevens niet aan derden verstrekken. Indien de wet ons verplicht om uw persoonsgegevens aan een autoriteit te verstrekken, zullen we ervoor zorgen dat de desbetreffende autoriteit uw persoonsgegevens vertrouwelijk behandelt. We blijven verantwoordelijk voor uw persoonsgegevens.