No cure = No pay

Met de No Cure No Pay formule kan je als bedrijf alleen maar winnen! Vinden onze hackers geen fouten, dan betaal je ook helemaal niks. Vinden ze wel fouten, dan betaal je een voorafbepaald tarief. Easy toch? Niet onbelangrijk: je weet steeds wie de hacker is en wanneer die zal hacken. 100% transparantie dus.

Lage urgentie (K4)

kriticiteit van 0 tot

€ 0,- per fout

Midden urgentie (K3)

kriticiteit van 25 tot

€ 250,- per fout

Hoge urgentie (K2)

kriticiteit van 50 tot

€ 500,- per fout

Zeer kritisch (K1)

kriticiteit van 75 tot

€ 1250,- per fout

Bugs No Cure No Pay volgens kriticiteit van laag naar hoog (4 - 1)

We garanderen 100% transparantie door de contactgegevens van de hacker te delen alsook deze vooraf bepaalde bug-lijst. Zo betaal je enkel voor wat we kunnen hacken.*

Kriticiteit 4 - Lage urgentie

Kriticiteit 3 - Midden urgentie

Server Security Misconfiguratie - Misconfigureerde DNS (basic subdomain takeover)
Server Security Misconfiguratie - Mailserver misconfiguratie (geen spoofing-bescherming op e-maildomein)
Server-Side Injectie - HTTP response manipulatie (response splitsen) (CRLF)
Server-Side Injectie - Content spoofing (iframe Injectie)
Broken Authenticatie en Session Management - Twee Factor Authenticatie (2FA) Bypass
Gebroken Authenticatie en Sessiebeheer - Zwakke aanmeldingsfunctie (HTTPS niet beschikbaar of HTTP standaard)
Gebroken Authenticatie en Sessiebeheer - Sessie fixatie (remote attack vector)
Gevoelige gegevens blootstelling - EXIF Geolocatiegegevens niet gestript van geüploade beelden (automatische user enumeratie)
Cross-Site Scripting (XSS) - Opgeslagen geprivilegieerde gebruiker naar Privilege Elevatie
Cross-Site Scripting (XSS) - Opgeslagen CSRF/URL-Based
Cross-Site Scripting (XSS) - Reflected Non-Self
Gebroken toegangscontrole (BAC) - Server-Side Request Forgery (SSRF) (interne scan en/of medium Impact)
Application-Level Denial-of-Service (DoS) - Hoge impact en/of medium moeilijkheid
Client-Side Injectie - Binary planting (standaard map privilege escalatie)
Automotive Security Misconfiguratie - Infotainment (Code executie (geen CAN Bus Pivot))
Automotive Security Misconfiguratie - Infotainment (onbevoegde toegang tot services (API/eindpunten))
Automotive Security Misconfiguratie - RF Hub (Data lekkage / pull encryptiemechanisme)

Kriticiteit 2 - Hoge urgentie

Server Security Misconfiguratie - Verkeerd geconfigureerde DNS (Subdomain takeover)
Server Security Misconfiguratie - OAuth Misconfiguratie (Account takeover)
Blootstelling aan gevoelige gegevens - Zwakke wachtwoord-reset implementatie (Token lekkage via Host Header Poisoning)
Cross-Site Scripting (XSS) - Opgeslagen (Niet-Privileged User naar iedereen)
Gebroken toegangscontrole (BAC) - Server-Side Request Forgery (SSRF) (interne hoge impact)
Cross-Site Request Forgery (CSRF) - Applicatie-breed
Toepassingsniveau Denial-of-Service (DoS) - Kritieke impact en/of gemakkelijke moeilijkheidsgraad
Onveilig OS/Firmware - Hardcoded Password ( Niet-Privileged User)
Automotive Security Misconfiguratie - Infotainment (Code Execution - CAN Bus Pivot)
Automotive Security Misconfiguratie - RF Hub CAN Injectie (Interactie)

Kriticiteit 1 - Zeer kritisch

Misconfiguratie van de serverbeveiliging - Gebruik van de standaardcertificaten
Server-Side Injectie - Bestandsinjectie Lokaal
Server-Side Injectie - Code-uitvoering op afstand (RCE)
Server-Side Injectie - SQL Injectie
Server-Side Injectie - XML Externe Entiteit Injectie (XXE)
Gebroken Authenticatie en Sessiebeheer - Authenticatiebypass
Blootstelling aan gevoelige gegevens - Kritiekgevoelige gegevens (openbaarmaking van wachtwoorden)
Blootstelling aan gevoelige gegevens - Kritisch gevoelige gegevens (privé API-sleutels)
Onveilig OS/Firmware - Commando-injectie
Onveilig OS/Firmware - Hardcoded Password (geprivilegieerde gebruiker)
Gebroken cryptografie - Cryptografische fout (onjuist gebruik)
Automotive Security Misconfiguratie - Infotainment (PII Lekkage)
Automotive Security Misconfiguratie - RF Hub (Key Fob Cloning)

*We werken aan de hand van Bugcrowd's classificatie van kwetsbaarheden.

Voordelen van de No Cure No Pay formule?

100% TRANSPARANTIE

Je ontmoet de hacker van tevoren. Dus je weet altijd wie er hackt en wanneer er gehackt wordt. Bovendien is er een duidelijk overzicht van mogelijke fouten en datalekken. Zo weet je altijd op voorhand hoeveel er in rekening wordt gebracht (of helemaal niets natuurlijk).

BUDGET VRIENDELIJK

Met deze formule kan je je bedrijfsomgeving regelmatig laten controleren op cybersecurity, zelfs met lage budgetten. Je betaalt geen onnodige uren. Als er geen bugs of datalekken worden gevonden, kost de service niets. Als we datalekken ontdekken, weet je het meteen.

SECURITY BOOST

Je hebt niets te verliezen. Integendeel! Als onafhankelijke partij treden we vaak op als controleorgaan voor onze klanten. Zelfs als je IT-leverancier zegt dat je omgeving superveilig is, kun je die dubbel laten controleren. Op die manier is je bedrijf altijd in top-cyber-vorm.

Hacking feiten en cijfers

Hacking is een serieus probleem voor bedrijven.

dagen duurt het gemiddeld vooraleer een hack wordt ontdekt

% van alle hacking aanvallen kunnen eenvoudig voorkomen worden

% van de digitale inbraken zijn reeds meer dan 1 jaar "patchable"

Wat is het doel van ethical hacking?

Wat is het resultaat van ethical hacking?

Is ethical hacking noodzakelijk?

Is ethical hacking duur?

Neen. In vergelijking met een datalek ten gevolge van een gehackte omgeving is ethical hacking en/of een pentest zelfs goedkoop.

Forensisch onderzoek, het herprogrammeren van software en het afhandelen van security incidenten ten gevolge van een datalek zijn maar liefst 25 x duurder dan het voorkomen hiervan (info: Ponemon Institute). Het is daarom belangrijk dat u beveiligingslekken tijdig oplost.

Spreek vandaag nog met onze ethische hackers!
E-mail: info@sectricity.com

Bel: België +32 9 298 05 85 of Nederland +31 85 888 16 44

>> Gratis Offerte <<