Verantwoordelijke melding van kwetsbaarheden

Bij Trustly staat de veiligheid van onze klanten en handelaren voorop. Ontdek je een kwetsbaarheid? Meld het ons, zodat we het snel kunnen oplossen.

Meld een probleem

Snelle links

Responsible Disclosure-beleidBeveiligingsomvangErelijstMeld een probleem

Responsible Disclosure-beleid

  • Je moet te allen tijde te goeder trouw handelen, en elke inbreuk op de privacy of verstoring van de door ons geleverde diensten vermijden. Dit betekent onder andere: geen ongeautoriseerde toegang tot of vernietiging van data, en geen onderbreking of verslechtering van onze diensten. Je dient alle toepasselijke wet- en regelgeving na te leven, waaronder regels tegen ongeoorloofde toegang tot gegevens.
  • Als je een kwetsbaarheid ontdekt, gebruik deze dan alleen om deze aan te tonen — niet buiten je eigen account of zonder uitdrukkelijke schriftelijke toestemming van de betreffende accounteigenaar. Denk ook na over mogelijke risico’s, zoals het blootstellen van gevoelige bedrijfsinformatie of het in gevaar brengen van een ander gebruikersaccount.
  • Gebruik geen geautomatiseerde scans.
  • Test niet de fysieke beveiliging van Trustly-kantoren, personeel of apparaten.
  • Social engineering (zoals phishing of vishing) is niet toegestaan.
  • Voer geen DoS- of DDoS-aanvallen uit.
  • Deel geen kwetsbaarheden met derden of het publiek zonder expliciete toestemming van Trustly.
  • We houden een lijst bij van onderzoekers die geldige meldingen hebben gedaan. Vermelding is vrijwillig. We behouden ons het recht voor om informatie gekoppeld aan jouw naam te beperken.

Beveiligingsomvang

We zijn uitsluitend geïnteresseerd in kwetsbaarheden in domeinen of IP-adressen die eigendom zijn van Trustly Group AB of Trustly Inc. Controleer de WHOIS-gegevens.

De volgende kwetsbaarheden vallen altijd buiten scope (niet-limitatief):

  • HTTP-foutpagina’s zoals 404
  • Banner footprinting op openbare diensten
  • Bekende openbare bestanden zoals robots.txt
  • Clickjacking
  • CSRF op formulieren zonder authenticatie
  • Logout-CSRF
  • Autofill of “wachtwoord opslaan”-meldingen
  • Cookies zonder secure of HttpOnly wanneer niet gevoelig
  • OPTIONS HTTP-methode toegestaan
  • E-mailadres-opsomming met trustly.com
  • Ontbrekende HTTP-headers zoals:
    • a. Strict-Transport-Security
      b. X-Frame-Options
      c. X-XSS-Protection
      d. X-Content-Type-Options
      e. Content-Security-Policy
      f. SSL/TLS-kwetsbaarheden zoals BEAST, BREACH
  • Tekstinjectie zonder HTML/CSS
  • Zwakke wachtwoordvereisten
  • Misconfiguraties in e-mail (SPF, DKIM, DMARC)
  • Dit is geen uitputtende lijst.

Erelijst

Als blijk van waardering houden we een Erelijst bij met personen die geldige beveiligingsmeldingen hebben gedaan. Deelname is vrijwillig. Bedankt voor je bijdrage aan een veiligere Trustly.

  • Maara (hackerone.com/maara)
  • Shubham Sanjay Deshmukh (LinkedIn)
  • Zeeshan Khalid (X)
Trustly sign

Hai trovato una vulnerabilità di sicurezza?

Se hai individuato una vulnerabilità rientrante nell’ambito di applicazione e hai rispettato la nostra politica di divulgazione responsabile, invia il tuo rapporto a security@trustly.com.

Ti consigliamo di cifrare il rapporto con la nostra chiave PGP pubblica prima dell’invio.