Security Issues 

Spanish version below

At Hunkemöller, we consider the security of our systems a top priority. But no matter how much effort we put into system security, there can still be vulnerabilities present.
If you discover a vulnerability, we would like to know about it so we can take steps to address it as quickly as possible. We would like to ask you to help us better protect our customers and our systems.


Please do the following:
•    E-mail your findings to privacy@hunkemoller.com with the subject ‘security vulnerability’.  
•    Do not take advantage of the vulnerability or problem you have discovered, for example by downloading more data than necessary to demonstrate the vulnerability or deleting or modifying other people's data,
•    Do not reveal the problem to others until it has been resolved,
•    Do not use attacks on physical security, social engineering, distributed denial of service, spam or applications of third parties, and
•    Do provide sufficient information to reproduce the problem, so we will be able to resolve it as quickly as possible. Usually, the IP address or the URL of the affected system and a description of the vulnerability will be sufficient, but complex vulnerabilities may require further explanation.
 

•    Vulnerabilities that are out of scope:
o    Missing security headers, such as X-frame options, CSP, XSS
o    SSL certificate and other SSL issues
o    Fingerprinting
o    Missing account lockout mechanisms, any password brute forcing
o    And other vulnerabilities already known to HM and considered low risk 

•    Vulnerabilities that are in scope:
o    Injection vulnerabilities
o    Privilege escalation
o    Remote code execution
o    Open, non-public directories
o    Exposed customer data

•    Vulnerabilities in a vendor’s system that exposes HM related data:
o    If you find that any data related to HM is or might be exposed due to a vulnerability affecting one of HM’s vendors, you may report it to us. We will make sure to follow up with the relevant service provider. However, please be informed that in such case Rewards as determined by HM will not apply while you still might be eligible for reward from the third-party.
 

What we promise:
•    We will respond to your report within 5 business days with our evaluation and the next steps to resolve the issue.
•    If you have complied with the above-mentioned conditions, we will not take legal action against you about the report.
•    We will handle your report with strict confidentiality, and not pass on your personal details to third parties without your permission.
•    We will keep you informed of the progress towards resolving the problem.
•    In the public information concerning the problem reported, we will give your name as the discoverer of the problem (unless you desire otherwise), and
•    As a token of our gratitude for your assistance, we offer a reward for every report of a serious security problem that was not yet known to us. 

We strive to resolve all problems as quickly as possible, and we would like to play an active role if needed in the ultimate publication on the problem after it is resolved.


Hunkemöller B.V. June 2021


 

En Hunkemöller, consideramos que la seguridad de nuestros sistemas es una prioridad absoluta. Pero, por mucho que nos esforcemos en la seguridad del sistema, siempre puede haber vulnerabilidades.
Si descubres una vulnerabilidad, nos gustaría saberlo para poder tomar medidas para solucionarla lo antes posible. Nos gustaría pedirte que nos ayudes a proteger mejor a nuestros clientes y nuestros sistemas.

Por favor, haz lo siguiente:
•    Envía tus hallazgos por correo electrónico a privacy@hunkemoller.com en inglés con el asunto «security vulnerability».  
•    No te aproveches de la vulnerabilidad o del problema que has descubierto, por ejemplo, descargando más datos de los necesarios para demostrar la vulnerabilidad o eliminando o modificando los datos de otras personas
•    No reveles el problema a otros hasta que se haya resuelto
•    No utilices ataques a la seguridad física, ingeniería social, denegación de servicio distribuido, «spam» o aplicaciones de terceros, y
•    Proporciona información suficiente para reproducir el problema, para que podamos resolverlo lo antes posible Por regla general, la dirección IP o la URL del sistema afectado y una descripción de la vulnerabilidad serán suficientes, pero las vulnerabilidades complejas pueden requerir más explicaciones.

•    Vulnerabilidades que están fuera del alcance:
o    Ausencia de cabeceras de seguridad, como las opciones X-frame, CSP, XSS
o    Certificado SSL y otras cuestiones relacionadas con el SSL
o    Huellas dactilares
o    Ausencia de mecanismos de bloqueo de cuentas, cualquier forzamiento bruto de contraseñas
o    Y otras vulnerabilidades ya conocidas por HM y consideradas de bajo riesgo 

•    Vulnerabilidades que están dentro del alcance:
o    Vulnerabilidades de inyección
o    Escalada de privilegios
o    Ejecución remota de código
o    Directorios abiertos y no públicos
o    Datos de clientes expuestos

•    Vulnerabilidades en el sistema de un proveedor que exponen datos relacionados con HM:
o    Si descubres que algún dato relacionado con HM está o puede estar expuesto debido a una vulnerabilidad que afecta a uno de los proveedores de HM, puedes informarnos de ello. Nos aseguraremos de hacer un seguimiento con el proveedor de servicios correspondiente. No obstante, ten en cuenta que, en tal caso, no se aplicarán las recompensas determinadas por SM, mientras que aún podrías optar a la recompensa del tercero.


Lo que prometemos:
•    Responderemos a tu informe en un plazo de 5 días hábiles con nuestra evaluación y los siguientes pasos para resolver el problema
•    Si has cumplido las condiciones mencionadas anteriormente, no emprenderemos acciones legales contra ti en relación con la denuncia
•    Trataremos tu informe con estricta confidencialidad y no comunicaremos tus datos personales a terceros sin tu permiso
•    Te mantendremos informado/a del progreso de la resolución del problema
•    En la información pública relativa al problema denunciado, daremos tu nombre como descubridor/a del problema (a menos que desees lo contrario), y
•    Como muestra de nuestra gratitud por tu ayuda, ofrecemos una recompensa por cada denuncia de un problema de seguridad grave que aún no conozcamos 
•    Nos esforzamos por resolver todos los problemas lo más rápidamente posible y nos gustaría desempeñar un papel activo, si fuera necesario, en la publicación final del problema una vez resuelto.

Hunkemöller B.V. Junio de 2021