Vond je een lek?
Meld het — wij beschermen je.
Geen juridische trucjes, geen "safe-harbor met sterretjes", geen verrassingen. Als jij je aan deze policy houdt, gaan wij je niet vervolgen. Triage binnen 7 werkdagen, fix-SLA per severity, publieke credit bij coordinated disclosure.
Zes stappen, van melding tot publicatie.
Elke stap heeft een SLA. Slip op een SLA? Escaleer via legal@righettios.com — dan valt het rapport buiten de gewone mailbox en op iemand z'n bureau.
Email naar security@righettios.com — bij voorkeur PGP-encrypted. Beschrijving + reproductie-stappen + impact + PoC indien veilig deelbaar.
Je krijgt een ontvangstbevestiging met ticket-id. Vanaf hier communiceren we via dat ticket — zodat alles traceerbaar is.
We reproduceren, beoordelen impact, kennen severity toe (Critical/High/Medium/Low) en sturen je ons begrip + tijdpad.
Critical fix binnen 30 dagen · High binnen 60 dagen · Medium/Low binnen 90 dagen. Je krijgt update bij milestones.
Je krijgt staging-toegang om de fix te verifiëren vóór productie-deploy. Soms vragen we follow-up-tests.
Coordinated disclosure: we publiceren een advisory, jij krijgt credit (Hall of Fame), en relevante CVEs worden aangevraagd indien van toepassing.
Hoe je ons bereikt.
Primair email-pad
Bij voorkeur PGP-encrypted. Inhoud van een goed rapport: beschrijving · reproductie-stappen · impact · screenshots / PoC-code (als veilig deelbaar) · gewenste credit-naam voor Hall-of-Fame.
PGP-key
PGP-fingerprint on request — stuur een mail met onderwerp "PGP-key request" en je ontvangt onze publieke key binnen 1 werkdag. Tot de officiële key live is: stuur in cleartext, mail-traffic is TLS-encrypted.
Algemene support-vragen → support@righettios.com · Privacy / AVG-rechten →DPO-contact · Sales / commercieel →sales@righettios.com.
Wat valt eronder, wat niet.
Houd je je aan de scope, dan geldt de safe-harbor. Twijfel je? Mail eerst — we antwoorden binnen 1 werkdag op scope-vragen.
In-scope (8)
Productie-app, marketing, status-pagina, alle subdomeinen.
AuthN/AuthZ-bypass, IDOR, injection (SQL, NoSQL, command, XXE), SSRF, prototype-pollution.
OAuth/SSO (SAML, OIDC), SCIM provisioning, magic-link, passkey, TOTP, password-reset, step-up reauth.
Send Data, board-uploads, avatars, custom-DPA. Path-traversal, malware-bypass, content-type-spoofing, magic-byte-bypass.
HMAC-chain tampering, audit-event-suppression, race-conditions in audit-write-path.
CONFIDENTIAL/RESTRICTED resources extern lekken zonder de juiste step-up of permissie.
Cross-workspace data-lekkage — workspace-A leest workspace-B data via een lek in de query-laag.
Lid promoot zichzelf naar admin, of admin neemt owner-rechten over. Rank-check-bypass.
Out-of-scope (10)
Resource-exhaustion of bandwidth-flooding. Cloudflare doet dat al.
Phishing van medewerkers of klanten valt buiten scope. Meld het wél als je ziet dat het gebeurt.
Datacenter-toegang, dumpster-diving, lock-picking. Niet onze vlieger.
Mollie / Brevo / Hetzner / Cloudflare — meld daar rechtstreeks via hun eigen disclosure-programma's.
XSS die alleen werkt als je jezelf de payload geeft via DevTools.
CSRF op endpoints die geen state-mutaties doen of geen sensitive-impact hebben.
Marketing-pages mogen embedbaar zijn. Dashboard + admin hebben frame-ancestors:none.
Bypass alleen interessant als het een echte vulnerability blootlegt.
CSP-rapporten zonder werkend exploit-pad zien we niet als security-issue.
Tenzij je een auth-token of SSO-flow kan stelen.
Wat krijgt voorrang.
Severity-toekenning gebeurt op basis van CVSS v3.1 + business-impact. Disagreement? Vragen we second-opinion van een externe security-engineer.
| Severity | CVSS | Fix-SLA | Voorbeeld |
|---|---|---|---|
Critical | 9.0–10.0 | 30 dagen fix | Auth-bypass, RCE, full DB-leak, audit-chain-tampering, cross-tenant data-read. |
High | 7.0–8.9 | 60 dagen fix | Privilege-escalation binnen workspace, IDOR op CONFIDENTIAL, SSRF naar interne services. |
Medium | 4.0–6.9 | 90 dagen fix | Stored XSS in user-content, CSRF op gevoelige actie, info-disclosure van interne metadata. |
Low | 0.1–3.9 | 90+ dagen | Verbeterbare headers, low-impact info-disclosure, hardening-suggesties. |
Schriftelijke toezegging.
Als je je houdt aan deze policy — alleen eigen test-accounts gebruiken, geen productie-data van anderen benaderen, responsibly disclose voor publicatie, geen denial-of-service uitvoeren — dan ondernemen wij geen juridische actie tegen je en werken we constructief mee aan een fix.
Dit is geen "best effort"-belofte. Onze juridisch verantwoordelijke heeft deze policy goedgekeurd; deze pagina-versie wordt gearchiveerd in onze policy-history (immutable, met datum).
Researchers die ons hielpen.
Met toestemming vermelden we researchers die responsibly hebben gerapporteerd. Op aanvraag pseudoniem.
Wees de eerste.
Geen rapporten ontvangen sinds launch. Mocht jij iets vinden — meld het, en je naam komt hier te staan.
Stuur je bevindingEerlijk: nog geen cash.
We belonen bevindingen wel — alleen nog niet in geld. Wat je krijgt:
Publieke credit met je naam (of pseudoniem) op deze pagina + LinkedIn-tag waar passend.
Persoonlijke recommendation-letter van CTO bij Critical/High-vondsten, bruikbaar voor employer-portfolio.
Critical-vondst → 1 jaar Pro-account gratis voor jou of je consulting-bedrijf. Inclusief enterprise-features.
Roadmap: formeel betaald programma via Intigriti EU staat op de planning zodra signalering-volume het rechtvaardigt.
Vragen die researchers stellen.
Krijg ik betaald voor een serieuze vondst?
Op dit moment géén monetaire bug-bounty. Wel: publieke erkenning in onze Hall of Fame (researcher kiest of-en-hoe), persoonlijke dank van het team, en RighettiOS-merch + free Pro-account voor 1 jaar bij Critical/High.
Waarom 90 dagen disclosure-window?
Industry-standaard (Project Zero, ISO/IEC 29147). Binnen die 90 dagen kunnen we fixen, deployen, klanten updaten en ervoor zorgen dat publicatie geen actief exploit-pad opent. Voor Critical-issues kunnen we korter, voor exotic edge-cases langer — altijd in overleg.
Kan ik anoniem rapporteren?
Ja. Je kunt een wegwerp-mailadres of ProtonMail gebruiken. Wel handig om een pseudoniem op te geven dat we kunnen vermelden bij Hall-of-Fame. Voor anonieme PGP-encrypted rapporten: stuur naar security@righettios.com en sluit je publieke key in.
Ik test op productie — gaat dat goed?
Liefst niet. Maak een gratis test-account aan en test daarop. Als je toch op productie test: gebruik nooit andermans data, doe geen denial-of-service-tests, en stop direct als je impact hebt op andere users. Onze safe-harbor-toezegging dekt redelijke security-research, niet roekeloosheid.
Wat als ik een bug vind in een van jullie sub-processors (Mollie/Brevo/Hetzner)?
Meld die rechtstreeks bij de betreffende leverancier via hun eigen disclosure-programma. Stuur ons graag wel een heads-up zodat we de impact op RighettiOS-klanten kunnen inschatten. Voor cross-cutting issues (bv. SAML-library) coördineren we mee.
Hoe weet ik dat jullie mijn rapport serieus nemen?
Ontvangstbevestiging binnen 2 werkdagen met ticket-id, triage binnen 7 werkdagen met begrip + tijdpad, milestone-updates tijdens fix, staging-verificatie vóór productie-deploy, en credit bij publieke disclosure. Als deze SLAs glippen: escaleer via legal@righettios.com.
Mag ik een gepubliceerde RCE toch eerst aan mijn werkgever laten zien?
Coordinated disclosure betekent: vóór publieke release alleen delen met partijen die nodig zijn voor onderzoek of fix-validatie. Werkgever-NDA is OK; conference-talk vóór onze fix-deploy is niet OK. Vraag het ons gewoon — we zijn flexibel als de coördinatie schoon blijft.
Wat als ik geen PGP heb?
Geen probleem. Stuur in cleartext naar security@righettios.com. Inkomend mail-traffic is TLS-versleuteld; we behandelen je rapport als vertrouwelijk vanaf het moment van ontvangst. Voor zeer gevoelige bevindingen (zero-day, actieve exploit) raden we PGP wél aan.