Neem deel aan dagelijkse live webinars om op de hoogte te blijven van automatiseringen, facturering en teamsamenwerking

Bug Bounty *Alleen beschikbaar in de VS

Meld een Beveiligings- of Privacykwetsbaarheid

TaxDome’s Bug Bounty Beleid is van toepassing op beveiligingskwetsbaarheden aangetroffen binnen de openbare online omgeving van TaxDome.

Doel

Het doel van het Beleid is om de regels vast te stellen voor de herziening, evaluatie, toepassing en verificatie van systeemupdates om kwetsbaarheden in de IT-omgeving en de daaraan verbonden risico’s te verminderen. Indien u meent een kwetsbaarheid in de beveiliging of privacy van het TaxDome product te hebben ontdekt, verzoeken wij u dit aan ons te melden.

Cookies Uitschakelen

U kunt de instelling van cookies voorkomen door de instellingen van uw browser aan te passen (zie de Helpfunctie van uw browser voor meer informatie). Wees u ervan bewust dat het uitschakelen van cookies de functionaliteit van deze en vele andere websites die u bezoekt beïnvloedt. Het uitschakelen van cookies heeft meestal ook tot gevolg dat bepaalde functies en mogelijkheden van deze site worden uitgeschakeld. Daarom raden wij u aan geen cookies uit te schakelen.

Bounty Ontvankelijkheid

Elke beveiligingsonderzoeker mag geen destructieve actie ondernemen die kan leiden tot:

  • Verlies van gegevens van andere gebruikers
  • Denial of Service voor andere gebruikers
  • Toevoegen aan een willekeurige Blokkadelijst

Indien u vermoedt dat een dergelijke kwetsbaarheid bestaat, neem dan contact op met het TaxDome-ontwikkelteam via help@taxdome.com.

Urgentieniveaus

We classificeren kwetsbaarheden op basis van hun potentiële impact op onze systemen. Dit helpt ons bij het prioriteren van reparaties en het bepalen van passende beloningen. De urgentieniveaus zijn:

  • SEV-1 (lage urgentie): er is op dit moment geen manier om de kwetsbaarheid uit te buiten, maar het heeft potentiële zwakke plekken die in de toekomst uitgebuit zouden kunnen worden. 
  • SEV-2 (medium urgentie): door de kwetsbaarheid kan een aanvaller een kleine of beperkte invloed hebben op de werking van het systeem. Dit kan beperkte gegevenstoegang inhouden of het omzeilen van kleine beperkingen.
  • SEV-3 (hoge urgentie): de kwetsbaarheid beïnvloedt de werking van het hele systeem aanzienlijk of stelt een aanvaller in staat om beperkingen op een beperkte reeks gegevens te omzeilen.
  • SEV-4 (kritische urgentie): de kwetsbaarheid beïnvloedt het hele systeem aanzienlijk of geeft een aanvaller gemakkelijk toegang tot een aanzienlijke hoeveelheid gegevens.
  • SEV-5 (extreme urgentie): de kwetsbaarheid geeft een aanvaller volledige en ondetecteerbare toegang tot het systeem. 

Voorbeelden van Kwetsbaarheden naar Urgentie

Hier zijn enkele voorbeelden van kwetsbaarheden geclassificeerd volgens hun urgentieniveau: 

  • SEV-1 (lage urgentie): HTML injectie/kwaadaardige code/URL injectie; open redirect
  • SEV-2 (medium urgentie): DOS (ontzegging van service) aanvalmogelijkheid; werknemer zonder benodigde rechten kan toegang krijgen tot de vragenlijst en vragenlijstsjabloon
  • SEV-3 (hoge urgentie): een aanvaller kan de klanten van een gebruiker stelen en de klanten koppelen aan hun contacten via IDOR (Insecure Direct Object References)
  • SEV-4 (kritische urgentie): een aanvaller kan ongeautoriseerde toegang krijgen om facturen van alle gebruikers via IDOR te verwijderen 
  • SEV-5 (extreme urgentie): een aanvaller kan willekeurige code injecteren waarmee hij het account van een gebruiker volledig kan overnemen, zijn gegevens kan stelen en ongemerkt acties voor hem kan uitvoeren.

Onze Klanten Beschermen Tegen Phishing

TaxDome doet er alles aan om onze klanten te beschermen tegen phishing-aanvallen. Phishing e-mails zijn frauduleuze pogingen om ontvangers gevoelige informatie te ontfutselen, zoals gebruikersnamen, wachtwoorden of financiële gegevens. Soms lijken deze e-mails afkomstig te zijn van legitieme bronnen, zoals een bedrijfseigenaar die TaxDome gebruikt.

Waar U Op Moet Letten

Phishing e-mails kunnen erg overtuigend zijn, maar er zijn een aantal alarmsignalen waar u op moet letten:

  • Het e-mailadres lijkt op dat van een legitieme afzender, maar heeft kleine variaties (bijvoorbeeld een extra teken of een andere domeinnaam).
  • De e-mail kan u in het algemeen aanspreken in plaats van met uw naam
  • De e-mail kan een gevoel van urgentie of druk geven om snel te handelen.
  • Phishing e-mails bevatten vaak grammaticale fouten of typefouten

Als u een verdachte e-mail ontvangt die beweert afkomstig te zijn van de eigenaar van uw bedrijf of TaxDome, klik dan niet op links of bijlagen.

Het Rapporteren van Phishing Pogingen

Hoewel we uw waakzaamheid op prijs stellen, willen we u erop wijzen dat meldingen over phishing pogingen niet in aanmerking komen voor ons Bug Bounty-programma. Ons programma richt zich op het identificeren van kwetsbaarheden in het TaxDome platform zelf.

Programma Regels

Houd er rekening mee dat we alleen vergoedingen betalen voor originele meldingen. Als er een duplicaat wordt geregistreerd, informeren we u wanneer het eerste rapport is ingediend.

Niet in Aanmerking Komende Rapporten:

  • Alles wat niet binnen onze controle valt (services van derden), met inbegrip van, maar niet beperkt tot Site.pro, featureOS, Intercom, Beamer, Customer.io)
  • Alles waarvoor fysieke toegang tot apparaat of netwerk vereist is
  • Alles waarvoor verouderde versies van software of hardware nodig zijn
  • Social engineering, phishing, etc.
  • Aanbevelingen en beproefde methoden, zolang er geen specifieke exploit is

TaxDome is niet verplicht om gedetailleerde uitleg te geven als het beveiligingsrapport niet in aanmerking komt.

Hoe een Beveiligings- of Privacyprobleem te melden?

  1. Als u denkt dat u een veiligheids- of privacykwetsbaarheid hebt ontdekt die van invloed is op de software, diensten of webservers van TaxDome, meld het ons.
  2. We verwelkomen rapporten van iedereen, inclusief beveiligingsonderzoekers, ontwikkelaars en klanten.
  3. Om een veiligheids- of privacykwetsbaarheid te melden, stuurt u een e-mail naar help@taxdome.com en voegt u relevante video’s, crashlogs en systeemdiagnoserapporten aan uw bericht toe.
  4. U ontvangt een antwoord van TaxDome ter bevestiging dat we uw melding hebben ontvangen. Als we meer informatie nodig hebben, nemen we binnen 10 werkdagen contact met u op.

Laatst geüpdatet July 25, 2024