Laatst bijgewerkt 23 december 2025

Bug Bounty Programma

Bij Ordnary (KVK: 95732888) nemen wij beveiliging serieus. Wij waarderen de beveiligingsgemeenschap en geloven dat verantwoorde openbaarmaking van beveiligingslekken ons helpt de veiligheid en privacy van onze gebruikers te waarborgen. Dit Bug Bounty Programma beschrijft onze richtlijnen voor beveiligingsonderzoekers die kwetsbaarheden willen melden.

Programmaoverzicht

Ons Bug Bounty Programma beloont beveiligingsonderzoekers die beveiligingslekken ontdekken en verantwoord openbaar maken in onze systemen. Wij moedigen ethische hackers en beveiligingsonderzoekers aan om ons te helpen Ordnary en onze gebruikers veilig te houden.

Beloningen & Bounties

Als startup bieden wij bescheiden geldelijke beloningen gebaseerd op de ernst en impact van de ontdekte kwetsbaarheid. Hoewel ons budget beperkt is, zijn wij toegewijd aan het erkennen van waardevol beveiligingsonderzoek:

Kritieke Ernst (€250 - €500)

  • Remote code execution op productiesystemen
  • SQL-injectie die leidt tot datalek
  • Authenticatie-bypass die alle gebruikers treft
  • Volledige accountovername zonder gebruikersinteractie
  • Directe databasetoegang of -blootstelling

Hoge Ernst (€100 - €250)

  • Cross-Site Scripting (XSS) met significante impact
  • Cross-Site Request Forgery (CSRF) op kritieke acties
  • Server-Side Request Forgery (SSRF)
  • Privilege-escalatie
  • Gebroken authenticatie of sessiebeheer
  • Blootstelling van gevoelige gebruikersgegevens

Gemiddelde Ernst (€50 - €100)

  • Informatielekken (niet-gevoelige gegevens)
  • Bedrijfslogicafouten
  • Reflected XSS met beperkte impact
  • Onveilige directe objectreferenties
  • Rate limiting bypass

Lage Ernst (Erkenning)

  • Self-XSS
  • Ontbrekende beveiligingsheaders (minor)
  • UI redressing/clickjacking
  • Informatielekken (minimale impact)

Let op: Definitieve beloningsbedragen worden bepaald door Ordnary op basis van impact, exploiteerbaarheid en kwaliteit van het rapport. Kwetsbaarheden met lage ernst ontvangen publieke erkenning maar geen geldelijke beloning.

Scope

De volgende assets vallen binnen de scope van ons Bug Bounty Programma:

In Scope

  • ordnary.com - Hoofdwebsite en alle subdomeinen
  • MockScene Platform - Applicatie en API-endpoints
  • Gradient Platform - Leermanagementsysteem
  • Mobiele Applicaties - iOS en Android apps (indien beschikbaar)
  • API Endpoints - Alle openbare en geauthenticeerde APIs
  • Authenticatiesystemen - Login, registratie, wachtwoord reset flows

Buiten Scope

  • Diensten en integraties van derden
  • Social engineering aanvallen
  • Fysieke beveiligingsproblemen
  • Denial of Service (DoS/DDoS) aanvallen
  • Spam of social engineering rapporten
  • Rapporten van geautomatiseerde tools zonder handmatige verificatie
  • Problemen die al gemeld zijn of worden opgelost
  • Theoretische kwetsbaarheden zonder proof of concept

Indieningsrichtlijnen

Wat op te nemen in je Rapport

Een goed kwetsbaarheidsrapport moet bevatten:

  • Gedetailleerde Beschrijving: Duidelijke uitleg van de kwetsbaarheid
  • Reproductiestappen: Stap-voor-stap instructies om het probleem te repliceren
  • Proof of Concept: Screenshots, videos of code die de kwetsbaarheid demonstreren
  • Impactbeoordeling: Potentiële impact en aanvalsscenarios
  • Getroffen URLs/Endpoints: Specifieke locaties waar de kwetsbaarheid bestaat
  • Voorgestelde Fix: (Optioneel) Aanbevelingen voor herstel
  • Omgevingsdetails: Browser, OS, gebruikte toolversies

Hoe in te Dienen

Stuur je kwetsbaarheidsrapporten naar: security@ordnary.com

Voor gevoelige rapporten kun je je bericht versleutelen met onze PGP-sleutel (beschikbaar op aanvraag).

Reactietijdlijn

  • Eerste Reactie: Binnen 48 uur
  • Validatie: Binnen 5 werkdagen
  • Oplostijdlijn: Gebaseerd op ernst
    • Kritiek: 7 dagen
    • Hoog: 14 dagen
    • Gemiddeld: 30 dagen
    • Laag: 60 dagen
  • Beloningsbetaling: Binnen 30 dagen na fixvalidatie

Regels & Richtlijnen

Verantwoorde Openbaarmaking

Om deel te nemen aan ons Bug Bounty Programma moet je:

  • Een goede trouw poging doen om privacyschendingen, gegevensvernietiging en serviceverstoring te vermijden
  • Alleen communiceren met accounts die je bezit of met expliciete toestemming van de accounthouder
  • Geen acties uitvoeren die de betrouwbaarheid/integriteit van onze diensten kunnen schaden
  • Geen toegang krijgen tot of gegevens wijzigen die niet van jou zijn
  • Geen gegevens exfiltreren uit onze diensten
  • Ons redelijke tijd geven om het probleem op te lossen voor openbare openbaarmaking
  • De kwetsbaarheid niet openbaar maken totdat wij een fix hebben uitgebracht

Testrichtlijnen

  • Gebruik testaccounts voor testen (je mag deze aanmaken)
  • Stuur geen ongevraagde e-mails of spam naar gebruikers
  • Voer geen geautomatiseerde scanners uit zonder toestemming
  • Beperk je testen tot wat nodig is om de kwetsbaarheid aan te tonen
  • Exploiteer de kwetsbaarheid niet verder dan het minimum dat nodig is om te bewijzen dat deze bestaat

Geschiktheid

  • Je moet de eerste zijn die de kwetsbaarheid meldt
  • De kwetsbaarheid moet een kwalificerend probleem zijn (binnen scope en ernst)
  • Je moet voldoen aan alle programmaregels
  • Je mag geen huidige of voormalige werknemer, aannemer of direct familielid zijn
  • Je moet minimaal 18 jaar oud zijn (of ouderlijke toestemming hebben)
  • Deelnemers uit landen onder sancties komen mogelijk niet in aanmerking voor geldelijke beloningen

Diskwalificaties

Het volgende resulteert in diskwalificatie van het programma:

  • Schendingen van programmaregels
  • Social engineering van Ordnary medewerkers of aannemers
  • Testen van applicaties of diensten van derden
  • Openbare openbaarmaking voordat fix is uitgerold
  • Betaling eisen of dreigen met openbaarmaking
  • Dezelfde kwetsbaarheid tegelijkertijd bij meerdere partijen indienen

Hall of Fame

Met je toestemming zullen wij beveiligingsonderzoekers erkennen die hebben geholpen Ordnary veiliger te maken:

2025 Bijdragers

Wees de eerste die op onze Hall of Fame verschijnt! Dien een geldig kwetsbaarheidsrapport in om te beginnen.

Niet-Kwalificerende Kwetsbaarheden

De volgende komen over het algemeen niet in aanmerking voor bounties:

  • Ontbrekende beveiligings best practices zonder bewijs van exploiteerbaarheid
  • Clickjacking op paginas zonder gevoelige acties
  • CSRF op formulieren beschikbaar voor anonieme gebruikers
  • Ontbrekende HTTP beveiligingsheaders zonder aangetoonde impact
  • SSL/TLS configuratieproblemen
  • SPF/DMARC/DKIM problemen zonder aangetoond misbruik
  • Rapporten van geautomatiseerde tools zonder handmatige validatie
  • Self-XSS die niet kan worden gebruikt om andere gebruikers te exploiteren
  • Logout CSRF
  • Gebruikersnaam/e-mail enumeratie
  • Host header injectie zonder bewijs van exploiteerbaarheid
  • Open redirects die niet kunnen worden geëxploiteerd
  • Rate limiting op niet-kritieke functionaliteit

Tips voor Onderzoekers

  • Kwaliteit boven Kwantiteit: Eén goed gedocumenteerde high-severity bug is beter dan tien lage-kwaliteit rapporten
  • Wees Grondig: Gedetailleerde reproductiestappen helpen ons sneller te valideren en op te lossen
  • Controleer op Duplicaten: Doorzoek onze beveiligingsadviezen voordat je indient
  • Wees Geduldig: Validatie en oplossen kost tijd, vooral voor complexe problemen
  • Blijf Professioneel: Duidelijke communicatie helpt iedereen
  • Lees de Richtlijnen: Het begrijpen van scope en regels bespaart tijd

Safe Harbor

Ordnary verbindt zich aan de volgende Safe Harbor bepalingen voor beveiligingsonderzoekers:

  • Wij zullen geen juridische actie ondernemen tegen onderzoekers die kwetsbaarheden ontdekken en melden in overeenstemming met dit beleid
  • Wij zullen met je samenwerken om je rapport te begrijpen en te valideren
  • Wij zullen je bijdrage erkennen (met je toestemming)
  • Wij houden je op de hoogte van de status van je rapport

Als juridische actie door een derde partij tegen jou wordt ingesteld in verband met je deelname aan dit programma, zullen wij stappen ondernemen om bekend te maken dat je acties werden uitgevoerd in overeenstemming met dit beleid.

Contactinformatie

Voor beveiligingsgerelateerde vragen en kwetsbaarheidsrapporten:

E-mail: security@ordnary.com
PGP Sleutel: Beschikbaar op aanvraag
Bedrijf: Ordnary
KVK: 95732888
Locatie: Nederland

Juridisch

Door deel te nemen aan ons Bug Bounty Programma ga je akkoord met:

  • Het volgen van alle programmaregels en richtlijnen
  • Het naleven van alle toepasselijke wetten en regelgeving
  • Het verlenen aan Ordnary van het recht om je naam en rapportdetails te gebruiken voor erkennningsdoeleinden

Ordnary behoudt zich het recht voor om dit programma op elk moment te wijzigen of te annuleren. Wij behouden ons het recht voor om de ernst en geldigheid van elk rapport te bepalen en het bedrag van enige beloning.

Programma-updates

Dit Bug Bounty Programma kan periodiek worden bijgewerkt. Controleer deze pagina regelmatig voor de nieuwste richtlijnen en scope. De datum "Laatst bijgewerkt" bovenaan geeft aan wanneer de laatste wijzigingen zijn gemaakt.

Bedankt

Bedankt voor het helpen om Ordnary veilig te houden! Je inspanningen helpen onze gebruikers te beschermen en de beveiliging van onze producten te verbeteren. Wij waarderen de toewijding van de beveiligingsonderzoeksgemeenschap om het internet veiliger te maken voor iedereen.

Vragen? Neem contact met ons op via security@ordnary.com

Producten
MockScene
Gradient
Horizon
Bedrijf
Over Ons
Nieuwskamer
Contact
Documenten
Juridisch
Privacybeleid
Algemene Voorwaarden
Cookiebeleid
Service Level Agreement
Meld je aan voor updates
Blijf op de hoogte van Ordnary nieuws en productfuncties.
Bedankt! Je inschrijving is ontvangen!
Oeps! Er ging iets mis bij het versturen van het formulier.
© 2023 - 2025 Ordnary. Alle rechten voorbehouden. | KVK: 95732888
Privacybeleid
Algemene Voorwaarden