Responsible disclosure beleid

Hoe u beveiligingslekken aan RocketShare kunt melden

Wij nemen de beveiliging van RocketShare en de gegevens van onze gebruikers serieus. Als u een beveiligingslek ontdekt, waarderen wij uw hulp bij het verantwoord melden hiervan.

Reikwijdte

De volgende zaken vallen onder dit beleid:

  • rocketshare.app — de hoofdwebapplicatie
  • API-endpoints onder rocketshare.app
  • De client-side encryptie-implementatie
  • Authenticatie en sessiebeheer
  • Toegangscontrole en autorisatielogica

Hoe te melden

Dien uw bevindingen in via ons contactformulier met het onderwerp "Melding beveiligingslek". Vermeld alstublieft:

  • Een duidelijke beschrijving van het beveiligingslek
  • Stappen om het probleem te reproduceren
  • De potentiële impact volgens uw begrip
  • Eventuele proof-of-concept code of screenshots (indien van toepassing)
  • Uw contactgegevens voor vervolgvragen

Wat wij vragen

  • Maak het beveiligingslek niet openbaar voordat wij een redelijke kans hebben gehad om het te verhelpen
  • Benader, wijzig of verwijder geen gegevens van andere gebruikers tijdens uw onderzoek
  • Voer geen denial-of-service aanvallen uit of tests die de service voor andere gebruikers verstoren
  • Gebruik geen geautomatiseerde scantools op grote schaal tegen productiesystemen — test handmatig of gebruik een persoonlijk testaccount
  • Handel te goeder trouw — doe oprecht uw best om privacyschendingen en verstoringen te voorkomen

Wat wij beloven

  • Bevestiging binnen 48 uur — wij bevestigen de ontvangst van uw melding binnen 2 werkdagen
  • Regelmatige updates — wij houden u op de hoogte van onze voortgang terwijl wij het probleem onderzoeken en oplossen
  • Redelijke oplostermijn — wij streven ernaar bevestigde beveiligingslekken binnen 90 dagen op te lossen, afhankelijk van de complexiteit
  • Erkenning — met uw toestemming vermelden wij u als melder wanneer wij de oplossing bekendmaken
  • Geen juridische stappen — wij zullen geen juridische stappen ondernemen tegen onderzoekers die dit beleid te goeder trouw volgen

Geen financiële beloningen

Op dit moment bieden wij geen financiële beloningen (bug bounties) aan voor meldingen van beveiligingslekken. Wij bieden wel publieke erkenning en onze oprechte dank voor uw hulp bij het veilig houden van RocketShare.

Buiten reikwijdte

De volgende zaken worden niet beschouwd als beveiligingslekken onder dit beleid:

  • Social engineering — phishing of pretexting aanvallen tegen ons team of gebruikers
  • Denial of service (DoS/DDoS) — volumetrische aanvallen of uitputting van resources
  • Diensten van derden — beveiligingslekken in diensten die wij gebruiken maar niet controleren (bijv. Cloudflare, betalingsverwerkers)
  • Self-XSS — problemen waarbij het slachtoffer code in de browserconsole moet plakken
  • Ontbrekende beveiligingsheaders op niet-gevoelige pagina's — tenzij ze leiden tot een aantoonbare exploit
  • Rate limiting — afwezigheid van rate limiting op niet-kritieke endpoints
  • Softwareversie-openbaarmaking — server- of framework-versie-informatie in headers of responses
  • Content spoofing — zonder aantoonbare beveiligingsimpact

Dit beleid is van kracht sinds februari 2026. Voor vragen over dit beleid kunt u contact met ons opnemen.