Ethische hackers zijn bij ons welkom

Ethische hackers houden ons scherp

Hoewel we onze systemen zo veilig mogelijk maken, kan het zijn dat er zwakke plekken zijn. Soms komen ethische hackers die zwakheden tegen en dan melden ze dat bij ons. Deze ‘bug hunting community’ bedanken wij voor hun hulp.

Bekijk hieronder de wall of fame.

Met deze pagina bedanken wij de bug hunting community.

Wall of fame

Broken link hijacking; gevonden door; Gourab Sadhukhan
- De link naar LinkedIn was onjuist en leidde naar een nog niet geregistreerde LinkedIn-pagina. Hierdoor was het mogelijk een bedrijfsprofiel op te zetten met onjuiste informatie.
Clickjacking mogelijkheid; gevonden door; Gourab Sadhukhan
- Het was mogelijk de website onder reseller.mijndomein.nl in te laden in externe iframes. Dit is nu niet meer mogelijk.
Clickjacking mogelijkheid; gevonden door; S. van Hunsel
- Het was mogelijk bepaalde beheerpagina's in te laden in externe iframes. Dit hebben we door het plaatsen van extra headers beperkt tot goedgekeurde websites.
Open redirect mogelijkheid; gevonden door S. van Hunsel
- Het was mogelijk de doorverwijs-url tijdens het inloggen aan te passen, waardoor het potentieel mogelijk was dat je na inloggen op een niet-Mijndomein-website terechtkwam. Dit hebben we onmogelijk gemaakt door een controle toe te voegen op de doorverwijs url.
User enumeration mogelijkheid; gevonden door S. van Hunsel
- Door differentiatie in de tekst na het opvragen van een reset link voor een wachtwoord was het te achterhalen of een account bestond bij Mijndomein. De teksten hebben we aangepast zodat dit niet meer mogelijk is.
Error Disclose code & XSS reflected; gevonden door Rachit Verma @b43kd00r
- Door een getoonde errorpagina was het mogelijk serverinformatie in te zien. De server die de error toonde, bleek een oude testserver te zijn. Deze is offline gehaald.
.htaccess visibility mogelijkheid; gevonden door Rachit Verma @b43kd00r
- In bepaalde applicaties was het mogelijk de .htaccess file op te halen. Dit hebben we onmogelijk gemaakt.
RCE vulnerability gevonden; gevonden door Rachit Verma @b43kd00r
- Twee van Mijndomeins eigen WordPress websites hadden een RCE (Remote Code Execution) Vulnerability. Het ging om een bekend lek waar inmiddels een update voor uitgebracht was en we hebben dit meteen gefixt.
Veiligheid verbeteren; gevonden door: Nathan van der Werf
- Uitgebreide serverinformatie werd getoond, dit is nu niet meer zo.
- Er stonden niet genoeg security headers op de website. Dit hebben we aangepast.
Open directory browsing mogelijk; gevonden door: anoniem
- Op jscdn1.mijndomein.nl was open directory browsing mogelijk. Dit hebben we aangepast en je ziet nu geen directory weergave meer in de browser.
Bedrijfsnaam aan te passen via HTML; gevonden door Red Lighthouse B.V.
- In Mijn account kon je door het aanpassen van een inputveld de waarde ervan aanpassen. We hebben hier een extra backendvalidatie aan toegevoegd zodat dit niet meer mogelijk is.
Lek toegangsbeveiliging; gevonden door: (elyesa.nl "elyesa.nl")
- De toegangsbeveiliging van een aantal van onze nieuwswebsites is verbeterd. Een aantal webdirectories waren bijvoorbeeld vrij te bekijken. Verder is de toegang voor medewerkers aangepast met o.a. 2FA en zijn een aantal wachtwoorden sterker gemaakt.
Onterecht gebruik HTTP Trace method; gevonden door: anoniem.
- Kwaadwillenden konden makkelijker klantgegevens onderscheppen. Opgelost: deze methode is niet persé direct kwaadaardig. Maar er is vrijwel geen reden om TRACE te gebruiken tegenwoordig. De trace method is uitgeschakeld op het platform.
XSS via uploaden; gevonden door Damian Ebeltjes (hackerone.com/ebeltjes)
- Dit komt door een verouderde versie van swfupload. Het wordt gebruikt in Websitemaker Classic, een product dat we niet meer verkopen en niet lang meer zullen ondersteunen. Ook te te gebruiken in de oude te raadplegen en niet meer werkende webshop. Het risico is laag daar de omgeving waar te includen niets actief is, niet meer wordt gebruikt en niet meer werkt. Wel zullen dit op zeer korte termijn dichtzetten.
Interne applicaties tijdelijk extern beschikbaar; gevonden door @D3_D0X
- Tijdens onderhoudswerkzaamheden zijn bepaalde interne applicaties, extern beschikbaar geweest. Opgelost: de betreffende applicaties zijn goed beveiligd middels authenticatie en er hebben zich geen geoorloofde logins voorgedaan.
XSS-kwetsbaarheid; gevonden door: (elyesa.nl "elyesa.nl")
- De kwetsbaarheid zat in het registratieformulier. Opgelost: het gat is gedicht.

Spelregels/Rules

Deze spelregels zijn bedoeld voor hackers. Omdat zij vooral in het Engels werken, zijn deze spelregels ook in het Engels.

Our slogan is 'Eenvoud, Eerlijk, Eigenwijs' (simplicity, honesty, headstrong). We don't have a formal application for you, just tell us what you found and we'll reward you.

To be short, when you are searching for a security issue or bug, you are not allowed to harm Mijndomein or their customers (e.g. retrieve sensitive data, impact performance, cause brand harm).

Longer version

Given the rules of three large, well respected companies: A='Github rules', B='Google rules', C='Facebook terms'. take the intersection of them {allowed_Mijndomein} = A ∩ B ∩ C. Or in plain English, it should not break the terms of those companies.

Scope

As a domain registrar, we own lots of domains. We would like to learn about it if any (i.e. '*') of our products is vulnerable.

Reporting

Please email us.

Optionally: include preferred dates for a job interview :P

Rewards

To be determined by us, but you'll never walk away empty handed!