Gedragsregels
19 juli 2024
Deze gedragscode beschrijft het gedrag dat we verwachten van iedereen in het Zerocopter-netwerk met een account in de Zerocopter-marktplaats, én bij andere initiatieven en events die door Zerocopter worden georganiseerd.
De gedragscode geldt voor alle interacties met Zerocopter-medewerkers, gebruikers, organisaties en hackers en helpt ons samen een veilige en toegankelijke omgeving te behouden.
Professioneel gedrag
Zerocopter is de security-marktplaats waar hackers en organisaties samenkomen. Transparantie en samenwerking zijn kernwaarden en we verwachten van iedereen professioneel gedrag.
Alle communicatie moet passend zijn voor een professionele omgeving. Wees vriendelijk naar anderen. Gedraag je professioneel. Intimidatie en seksistische, racistische of buitensluitende grappen horen hier niet thuis.
Geen misbruik, chantage of bedreiging.
Elke vorm van discriminatie, racisme, seksisme, intimidatie of pesten richting onze community of medewerkers heeft gevolgen. Dat geldt ook voor pogingen tot chantage of afpersing.
Communicatie
We vinden het belangrijk dat je open met elkaar kunt overleggen. Om dat goed en professioneel te laten verlopen, vragen we je om met elkaar te communiceren via de comments in de Zerocopter-marktplaats. Alleen wanneer anders vermeld in de briefing van een programma, of als je via de marktplaats contactgegevens hebt uitgewisseld én expliciete toestemming hebt, mag je iemand buiten het platform om benaderen.
Rapportage
Meld kwetsbaarheden zo snel mogelijk nadat je ze hebt gevonden. Maar dien geen lege of voorlopige meldingen in — neem de tijd om je werk goed te controleren voordat je iets instuurt.
Elke geldige melding moet voorzien zijn van een duidelijke omschrijving, een proof of concept en volledige stappen om het probleem te reproduceren. Meldingen zonder deze informatie worden gesloten en moeten opnieuw worden ingediend met alle vereiste details om in behandeling genomen te worden.
Lees en volg de Algemene voorwaarden van Zerocopter voor hackers, én de briefing of Coordinated Vulnerability Disclosure (CVD) van elk programma. We verwachten dat je je houdt aan alle richtlijnen en regels die een programma of organisatie opstelt over scope en openbaarmaking.
Deel geen informatie over Bug Bounty-programma’s
Deel geen vertrouwelijke informatie over kwetsbaarheden of gebruikers.
Bug bounty-programma’s zijn privé, en geen enkele ingediende kwetsbaarheid inclusief duplicaten, out of scope of niet-relevante meldingen, mag zonder expliciete toestemming openbaar worden gemaakt Lees voor elk programma de bijbehorende Bug Bounty-briefing; de daarin beschreven disclosure-regels gaan boven dit beleid. Gebruik altijd de juiste kanalen om meldingen te communiceren of te bespreken. Heb je vragen over openbaarmaking? Mail dan Zerocopter Support.
Geen (ver)storend gedrag
Spam programma’s niet met meldingen van lage kwaliteit of meldingen die je zelf niet begrijpt. Dit zorgt voor ruis en leidt de triage en organisaties af van echte kwetsbaarheden die aandacht verdienen.
Doe nooit meer dan nodig is om een kwetsbaarheid aan te tonen.
Beperk de hoeveelheid data die je benadert. Stop direct met testen als je gebruikersgegevens tegenkomt zoals persoonsgegevens (PII), medische gegevens (PHI), creditcardinformatie of vertrouwelijke bedrijfsinformatie en dien een melding in.
Probeer nooit diensten te verstoren en houd altijd rekening met de proportie van je test.
Voer geen aanvallen uit op fysieke beveiliging, gebruik geen social engineering en zet geen hackingtools in zoals vulnerabilityscanners.
Software
Het gebruik van illegale, gekraakte of gepirate software is niet toegestaan. We verwachten dat iedereen in ons netwerk zich ethisch gedraagt en geen gebruik maakt van dit soort software.
Sancties
Wie zich niet aan de gedragscode of de algemene voorwaarden houdt, krijgt te maken met waarschuwingen en sancties. Ook gedrag buiten de Zerocopter-marktplaats, zoals seksistische opmerkingen op social media richting iemand uit het netwerk kan leiden tot sancties.
Gedrag
Definities en voorbeelden
Sanctie
Storend gedrag
Spammen van programma’s met meldingen van lage kwaliteit of meldingen die je zelf niet begrijpt
Spammen om updates
Een grote hoeveelheid supporttickets indienen
Testen dat zorgt voor verstoring van het programma
(bijvoorbeeld: automatisch supporttickets indienen op een target van het programma, waardoor de klantenservice van de organisatie wordt verstoord)
Knoeien met testomgevingen of accounts om andere hackers uit te sluiten
Waarschuwing
Onprofessioneel gedrag
Respectloos gedrag of onprofessionele taal richting anderen in onze community horen hier niet thuis.
Botte reacties worden niet getolereerd.
Waarschuwing
Communicatie buiten het Zerocopter-platform
Het is niet toegestaan om zonder toestemming direct contact op te nemen met communityleden buiten het platform, via DM’s op social media te vragen naar updates over meldingen, of contact op te nemen via e-mail of het ticketsysteem van een gebruiker of organisatie.
Waarschuweing
Afname van de servicekwaliteit
Breng de dienstverlening nooit in gevaar, denk altijd na over de impact van je test.
Programma ban
Testen buiten scope
Testen buiten de scope van het programma, herhaaldelijk meldingen indienen die buiten scope vallen, of het niet volgen van de Bug Bounty-briefing is niet toegestaan.
Programma ban
Het delen van informatie over bug bounty-programma’s
Bug bounty-programma’s van klanten zijn privé en mogen niet gedeeld worden zonder expliciete toestemming.
Schorsing
Het delen van rapportinformatie zonder toestemming
een enkele ingediende kwetsbaarheid, inclusief duplicaten, out of scope of niet-relevante meldingen, mag zonder expliciete toestemming worden gedeeld.
Schorsing
Grensoverschrijdend gedrag
Elke vorm van geweld, discriminatie, seksisme, racisme, intimidatie of pesterijen richting Zerocopter-gebruikers, hackers of medewerkers heeft gevolgen.
Agressief of bedreigend gedrag, persoonlijke aanvallen, ongepaste aanrakingen, seksuele toenadering, stalking of ongevraagd contact via persoonlijke kanalen worden niet getolereerd, ook niet buiten het platform of op branche)evenementen.
Platform ban
Je voordoen als iemand anders en social engineering
Het is niet toegestaan om Zerocopter-medewerkers, andere hackers of onderdelen van een programma te misleiden of je anders voor te doen, bijvoorbeeld via social engineering of impersonatie.
Platform ban
Afpersing en chantage
Dreigementen en pogingen tot het verkrijgen van geld door dwang zijn niet toegestaan. Het is ook niet toegestaan om om een beloning te vragen vóórdat je de kwetsbaarheid meldt aan het triageteam en de klant. Dit belemmert een eerlijke beoordeling van de kwetsbaarheid en de impact ervan.
Platform ban