Security Issues 

Dutch version below

At Hunkemöller, we consider the security of our systems a top priority. But no matter how much effort we put into system security, there can still be vulnerabilities present.
If you discover a vulnerability, we would like to know about it so we can take steps to address it as quickly as possible. We would like to ask you to help us better protect our customers and our systems.


Please do the following:
•    E-mail your findings to privacy@hunkemoller.com with the subject ‘security vulnerability’.  
•    Do not take advantage of the vulnerability or problem you have discovered, for example by downloading more data than necessary to demonstrate the vulnerability or deleting or modifying other people's data,
•    Do not reveal the problem to others until it has been resolved,
•    Do not use attacks on physical security, social engineering, distributed denial of service, spam or applications of third parties, and
•    Do provide sufficient information to reproduce the problem, so we will be able to resolve it as quickly as possible. Usually, the IP address or the URL of the affected system and a description of the vulnerability will be sufficient, but complex vulnerabilities may require further explanation.
 

•    Vulnerabilities that are out of scope:
o    Missing security headers, such as X-frame options, CSP, XSS
o    SSL certificate and other SSL issues
o    Fingerprinting
o    Missing account lockout mechanisms, any password brute forcing
o    And other vulnerabilities already known to HM and considered low risk 

•    Vulnerabilities that are in scope:
o    Injection vulnerabilities
o    Privilege escalation
o    Remote code execution
o    Open, non-public directories
o    Exposed customer data

•    Vulnerabilities in a vendor’s system that exposes HM related data:
o    If you find that any data related to HM is or might be exposed due to a vulnerability affecting one of HM’s vendors, you may report it to us. We will make sure to follow up with the relevant service provider. However, please be informed that in such case Rewards as determined by HM will not apply while you still might be eligible for reward from the third-party.


What we promise:
•    We will respond to your report within 5 business days with our evaluation and the next steps to resolve the issue.
•    If you have complied with the above-mentioned conditions, we will not take legal action against you about the report.
•    We will handle your report with strict confidentiality, and not pass on your personal details to third parties without your permission.
•    We will keep you informed of the progress towards resolving the problem.
•    In the public information concerning the problem reported, we will give your name as the discoverer of the problem (unless you desire otherwise), and
•    As a token of our gratitude for your assistance, we offer a reward for every report of a serious security problem that was not yet known to us. 

We strive to resolve all problems as quickly as possible, and we would like to play an active role if needed in the ultimate publication on the problem after it is resolved.


Hunkemöller B.V. June 2021


 

Bij Hunkemöller beschouwen we de beveiliging van onze systemen als een topprioriteit. Maar hoeveel moeite we ook doen op het gebied van systeembeveiliging, er kunnen nog steeds kwetsbaarheden aanwezig zijn.
Als u een kwetsbaarheid ontdekt, willen we dat graag weten, zodat we stappen kunnen ondernemen om deze zo snel mogelijk aan te pakken. We willen u vragen om ons te helpen onze klanten en onze systemen beter te beschermen.

Ga als volgt te werk:
•     Mail uw bevindingen naar privacy@hunkemoller.com in het Engels met als onderwerp ‘security vulnerability’.  
•    Maak geen misbruik van de kwetsbaarheid of het probleem dat u heeft ontdekt, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen of door gegevens van anderen te verwijderen of aan te passen,
•    Praat niet met anderen over het probleem totdat het is opgelost,
•    Gebruik geen aanvallen op fysieke beveiliging, social engineering, gedistribueerde denial of service, spam of applicaties van derden, en
•    Geef wel voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar bij complexe kwetsbaarheden kan nadere uitleg nodig zijn.

•    Kwetsbaarheden die buiten het bereik vallen:
o    Ontbrekende beveiligingsheaders, zoals X-frame-opties, CSP, XSS
o    SSL-certificaat en andere SSL-problemen
o    Fingerprinting
o    Ontbrekende mechanismen voor accountvergrendeling, elke brute forcering van een wachtwoord
o    En andere kwetsbaarheden die al bekend zijn bij HM en die als laag risico worden beschouwd 

•    Kwetsbaarheden die binnen het bereik vallen:
o    Injectiekwetsbaarheden
o    Privilege escalatie
o    Uitvoering van externe code
o    Open, niet-openbare mappen
o    Blootgestelde klantgegevens

•    Kwetsbaarheden in het systeem van een leverancier die HM-gerelateerde gegevens blootleggen:
o     Als u merkt dat gegevens met betrekking tot HM worden of kunnen worden blootgesteld als gevolg van een kwetsbaarheid die van invloed is op een van de leveranciers van HM, kunt u dit aan ons melden. We zullen ervoor zorgen dat we contact opnemen met de relevante dienstverlener. Houdt u er echter rekening mee dat in een dergelijk geval beloningen zoals bepaald door HM niet van toepassing zijn terwijl u nog steeds in aanmerking zou kunnen komen voor een beloning van de derde partij.


Wat wij beloven:
•    We zullen binnen vijf werkdagen op uw melding reageren met onze evaluatie en de volgende stappen om het probleem op te lossen.
•    Als u aan de bovenstaande voorwaarden hebt voldaan, zullen wij geen juridische stappen tegen u ondernemen met betrekking tot de melding.
•    Wij behandelen uw melding strikt vertrouwelijk en geven uw persoonlijke gegevens niet zonder uw toestemming door aan derden.
•    We houden u op de hoogte van de voortgang van het oplossen van het probleem.
•    In de openbare informatie over het gemelde probleem zullen we uw naam vermelden als de ontdekker van het probleem (tenzij je anders wenst), en
•    Als blijk van onze dankbaarheid voor uw hulp bieden wij een beloning aan voor elke melding van een ernstig beveiligingsprobleem dat nog niet bij ons bekend was. 
•    Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en willen indien nodig een actieve rol spelen in de uiteindelijke publicatie van het probleem nadat het is opgelost.

Hunkemöller B.V. Juni 2021