Laatst bijgewerkt: 12 september 2025
Invite-only: Dit bug bounty programma is alleen toegankelijk op uitnodiging. Als je geen uitnodiging hebt ontvangen, beschouw dit beleid dan als Responsible Disclosure zonder beloning. Wel waarderen we responsible meldingen enorm.
Scope
- In scope:
https://itheorie.nl (productie)
- Niet in scope: DoS/stresstests, social engineering, spam/brute force, aanvallen op derde partijen of diensten buiten onze controle, test met echte PII/leerlingdata.
Zo meld je een kwetsbaarheid
- E-mail: security@itheorie.nl
- Voeg toe: duidelijke titel, impact, reproduceerstappen, PoC (screenshots/code), doel-URL en gebruikte rol/account.
- SLA: eerste reactie binnen 3 werkdagen; validatie binnen 10 werkdagen; uitbetaling (indien van toepassing) binnen 30 dagen na validatie.
Beloningen (indicatief)
| Ernst | Voorbeelden | Bounty |
|---|
| Kritiek | Auth bypass admin, RCE, toegang tot alle data | € 1.500 – € 3.000 |
| Hoog | SQLi met data-exfil, account takeover, privilege escalation | € 500 – € 1.500 |
| Middel | Stored XSS met impact, IDOR, gevoelige misconfig | € 200 – € 500 |
| Laag | Info leak beperkte impact, header/CSP-tekort | € 100 – € 200 |
Bounties gelden uitsluitend voor uitgenodigde onderzoekers. Niet-reproduceerbare issues, duplicaten of bevindingen buiten scope komen niet in aanmerking.
Regels & Safe Harbor
- Test uitsluitend binnen de scope en met respect voor beschikbaarheid en privacy.
- Gebruik testaccounts; raak geen productie-PII. Mocht je per ongeluk gevoelige data aantreffen, stop direct en meld dit.
- Geen openbaarmaking zonder afstemming. We publiceren samen na fix of na 90 dagen (wat het eerst komt).
- Zolang je te goeder trouw handelt en dit beleid volgt, ondernemen we geen juridische stappen (safe harbor).
security.txt
Contact: mailto:security@itheorie.nl
Policy: https://itheorie.nl/security
Preferred-Languages: nl, en
Last updated: 12 September 2025
Invite-only: This bug bounty program is by invitation only. If you were not invited, please treat this as a Responsible Disclosure policy with no bounty. We greatly appreciate responsible reports.
Scope
- In scope:
https://itheorie.nl (production)
- Out of scope: DoS/stress tests, social engineering, spam/brute force, attacks against third parties or services outside our control, testing with real PII/student data.
How to report a vulnerability
- Email: security@itheorie.nl
- Include: clear title, impact, reproduction steps, PoC (screenshots/code), target URL, and role/account used.
- SLAs: first response within 3 business days; validation within 10 business days; payout (if applicable) within 30 days after validation.
Rewards (indicative)
| Severity | Examples | Bounty |
|---|
| Critical | Admin auth bypass, RCE, access to all data | € 1,500 – € 3,000 |
| High | SQLi with exfil, account takeover, privilege escalation | € 500 – € 1,500 |
| Medium | Stored XSS with impact, IDOR, sensitive misconfig | € 200 – € 500 |
| Low | Low-impact info leak, header/CSP gaps | € 100 – € 200 |
Bounties apply only to invited researchers. Non-reproducible issues, duplicates, or out-of-scope findings are ineligible.
Rules & Safe Harbor
- Test only within scope and respect availability and privacy.
- Use test accounts; do not access real PII. If you accidentally encounter sensitive data, stop immediately and report.
- No public disclosure without coordination. We publish together after a fix or after 90 days (whichever comes first).
- As long as you act in good faith and follow this policy, we will not pursue legal action (safe harbor).
security.txt
Contact: mailto:security@itheorie.nl
Policy: https://itheorie.nl/security
Preferred-Languages: nl, en