No cure = No pay

Met de No Cure No Pay formule kan je als bedrijf alleen maar winnen! Vinden onze hackers geen fouten, dan betaal je ook helemaal niks. Vinden ze wel fouten, dan betaal je een voorafbepaald tarief. Easy toch? Niet onbelangrijk: je weet steeds wie de hacker is en wanneer die zal hacken. 100% transparantie dus.

Lage urgentie (K4)

kriticiteit van 0 tot

€ 0,- per fout

Midden urgentie (K3)

kriticiteit van 25 tot

€ 250,- per fout

Hoge urgentie (K2)

kriticiteit van 50 tot

€ 500,- per fout

Zeer kritisch (K1)

kriticiteit van 75 tot

€ 1250,- per fout

Bugs No Cure No Pay volgens kriticiteit van laag naar hoog (4 - 1)

We garanderen 100% transparantie door de contactgegevens van de hacker te delen alsook deze vooraf bepaalde bug-lijst. Zo betaal je enkel voor wat we kunnen hacken.*

Kriticiteit 4 - Lage urgentie

Server Security Misconfiguratie - Misconfiguratie DNS (zone overdracht)
Server Security Misconfiguratie - Mailserver misconfiguratie (e-mail spoof naar Inbox als gevolg van miss/misconfiguratie DMARC op email)
Server Security Misconfiguratie - Database Management Systeem Misconfiguratie (DBMS) (overdreven geprivilegieerde gebruiker / DBA)
Server Security Misconfiguratie - Gebrek aan wachtwoordbevestiging (account verwijderen)
Server Security Misconfiguratie - Geen tariefbeperking op formulier (registratie)
Server Security Misconfiguratie - Geen tariefbeperking op formulier (aanmelding)
Server Security Misconfiguratie - Geen tariefbeperking op formulier (e-mail-trigging)
Server Security Misconfiguratie - Geen tariefbeperking op formulier (SMS-trigging)
Server Security Misconfiguratie - Ontbrekende veilige of HTTP only cookie flag (sessie token)
Server Security Misconfiguratie - Clickjacking (gevoelige actie)
Server Security Misconfiguratie - Captcha bypass (implementatie kwetsbaarheid)
Server Security Misconfiguratie - Gebrek aan security headers (cache-control voor een gevoelige pagina)
Server Security Misconfiguratie - Web Application Firewall (WAF) bypass (directe server toegang)
Server-Side Injectie - Spoofing inhoud (externe authenticatie Injectie)
Server-Side Injectie - Spoofing inhoud (e-mail HTML injectie)
Gebroken Authenticatie en Session Management - Cleartext transmissie van sessie token
Gebroken Authenticatie en Sessiebeheer - Zwakke login functie (andere plaintext protocol zonder beveiligd alternatief)
Gebroken Authenticatie en Sessiebeheer - Zwakke login functie (LAN only)
Gebroken Authenticatie en Sessiebeheer - Zwakke login functie (HTTP en HTTPS beschikbaar)
Gebroken Authenticatie en Sessiebeheer - Fout of ongeldige sessie (uitloggen op client en server)
Gebroken Authenticatie en Sessiebeheer - Fout of ongeldige sessie (op paswoord reset/verandering)
Gebroken Authenticatie en Sessiebeheer - Zwakke registratie-implementatie (over HTTP)
Gevoelige gegevens exposure - EXIF geolocatiegegevens niet gestript van geüploade afbeeldingen (handmatige user enumeratie)
Gevoelige gegevens exposure - Zichtbare gedetailleerde fout/Debug pagina (gedetailleerde serverconfiguratie)
Gevoelige gegevens exposure - Token lekkage via referer (onbetrouwbare 3e partij)
Gevoelige gegevens exposure - Token lekkage via referer (over HTTP)
Gevoelige gegevens exposure - Gevoelige token in URL (user facing)
Gevoelige gegevens exposure - Zwakke paswoord reset Implementatie (paswoord reset token verzonden over HTTP)
Cross-Site Scripting (XSS) - Opgeslagen (geprivilegieerde gebruiker tot geen geprivilegieerde elevatie)
Cross-Site Scripting (XSS) - Flash-Based
Cross-Site Scripting (XSS) - IE only (IE11)
Cross-Site Scripting (XSS) - Referer
Cross-Site Scripting (XSS) - Universeel (UXSS)
Cross-Site Scripting (XSS) - Off-Domain (Data URL)
Gebroken toegangscontrole (BAC) - Server-Side Request Forgery (SSRF) (Extern)
Gebroken toegangscontrole (BAC) - Gebruikersnaam/E-mail enumeratie (non-brute force)
Ongevalideerde Redirects en Forwards - Open redirect (GET-Based)
Onvoldoende Beveiligingsconfiguratie - Geen paswoordbeleid
Onvoldoende Beveiligingsconfiguratie - Zwak paswoord reset Implementatie (token is niet ongeldig na gebruik)
Onvoldoende Beveiligingsconfiguratie - Zwakke 2FA Implementatie (2FA geheim kan niet worden geroteerd)
Onvoldoende Beveiligingsconfiguratie - Zwakke 2FA Implementatie (2FA geheim blijft beschikbaar nadat 2FA is ingeschakeld)
Gebruik van componenten met bekende kwetsbaarheden - Rosetta Flash
Onveilige gegevensopslag - Gevoelige applicatiegegevens die ongecodeerd zijn opgeslagen (op externe opslag)
Onveilige gegevensopslag - Server-Side credentials opslag (plaintext)
Onveilig datatransport - Executable download (geen veilige integriteitscontrole)
Privacy Zorgen - Onnodige gegevensverzameling (WiFi SSID+paswoord)
Automotive Security Misconfiguratie - Infotainment (broncode dump)
Automotive Security Misconfiguratie - Infotainment (Denial of Service (DoS / Brick)
Automotive Security Misconfiguratie - Infotainment (default credentials)
Automotive Security Misconfiguratie - RF Hub (onbevoegde toegang / aanzetten)
Automotive Security Misconfiguratie - CAN (injectie (verboden berichten))
Automotive Security Misconfiguratie - CAN (injectie (DoS))

Kriticiteit 3 - Midden urgentie

Server Security Misconfiguratie - Misconfigureerde DNS (basic subdomain takeover)
Server Security Misconfiguratie - Mailserver misconfiguratie (geen spoofing-bescherming op e-maildomein)
Server-Side Injectie - HTTP response manipulatie (response splitsen) (CRLF)
Server-Side Injectie - Content spoofing (iframe Injectie)
Broken Authenticatie en Session Management - Twee Factor Authenticatie (2FA) Bypass
Gebroken Authenticatie en Sessiebeheer - Zwakke aanmeldingsfunctie (HTTPS niet beschikbaar of HTTP standaard)
Gebroken Authenticatie en Sessiebeheer - Sessie fixatie (remote attack vector)
Gevoelige gegevens blootstelling - EXIF Geolocatiegegevens niet gestript van geüploade beelden (automatische user enumeratie)
Cross-Site Scripting (XSS) - Opgeslagen geprivilegieerde gebruiker naar Privilege Elevatie
Cross-Site Scripting (XSS) - Opgeslagen CSRF/URL-Based
Cross-Site Scripting (XSS) - Reflected Non-Self
Gebroken toegangscontrole (BAC) - Server-Side Request Forgery (SSRF) (interne scan en/of medium Impact)
Application-Level Denial-of-Service (DoS) - Hoge impact en/of medium moeilijkheid
Client-Side Injectie - Binary planting (standaard map privilege escalatie)
Automotive Security Misconfiguratie - Infotainment (Code executie (geen CAN Bus Pivot))
Automotive Security Misconfiguratie - Infotainment (onbevoegde toegang tot services (API/eindpunten))
Automotive Security Misconfiguratie - RF Hub (Data lekkage / pull encryptiemechanisme)

Kriticiteit 2 - Hoge urgentie

Server Security Misconfiguratie - Verkeerd geconfigureerde DNS (Subdomain takeover)
Server Security Misconfiguratie - OAuth Misconfiguratie (Account takeover)
Blootstelling aan gevoelige gegevens - Zwakke wachtwoord-reset implementatie (Token lekkage via Host Header Poisoning)
Cross-Site Scripting (XSS) - Opgeslagen (Niet-Privileged User naar iedereen)
Gebroken toegangscontrole (BAC) - Server-Side Request Forgery (SSRF) (interne hoge impact)
Cross-Site Request Forgery (CSRF) - Applicatie-breed
Toepassingsniveau Denial-of-Service (DoS) - Kritieke impact en/of gemakkelijke moeilijkheidsgraad
Onveilig OS/Firmware - Hardcoded Password ( Niet-Privileged User)
Automotive Security Misconfiguratie - Infotainment (Code Execution - CAN Bus Pivot)
Automotive Security Misconfiguratie - RF Hub CAN Injectie (Interactie)

Kriticiteit 1 - Zeer kritisch

Misconfiguratie van de serverbeveiliging - Gebruik van de standaardcertificaten
Server-Side Injectie - Bestandsinjectie Lokaal
Server-Side Injectie - Code-uitvoering op afstand (RCE)
Server-Side Injectie - SQL Injectie
Server-Side Injectie - XML Externe Entiteit Injectie (XXE)
Gebroken Authenticatie en Sessiebeheer - Authenticatiebypass
Blootstelling aan gevoelige gegevens - Kritiekgevoelige gegevens (openbaarmaking van wachtwoorden)
Blootstelling aan gevoelige gegevens - Kritisch gevoelige gegevens (privé API-sleutels)
Onveilig OS/Firmware - Commando-injectie
Onveilig OS/Firmware - Hardcoded Password (geprivilegieerde gebruiker)
Gebroken cryptografie - Cryptografische fout (onjuist gebruik)
Automotive Security Misconfiguratie - Infotainment (PII Lekkage)
Automotive Security Misconfiguratie - RF Hub (Key Fob Cloning)

*We werken aan de hand van Bugcrowd's classificatie van kwetsbaarheden.

Voordelen van de No Cure No Pay formule?

100% TRANSPARANTIE

Je ontmoet de hacker van tevoren. Dus je weet altijd wie er hackt en wanneer er gehackt wordt. Bovendien is er een duidelijk overzicht van mogelijke fouten en datalekken. Zo weet je altijd op voorhand hoeveel er in rekening wordt gebracht (of helemaal niets natuurlijk).

BUDGET VRIENDELIJK

Met deze formule kan je je bedrijfsomgeving regelmatig laten controleren op cybersecurity, zelfs met lage budgetten. Je betaalt geen onnodige uren. Als er geen bugs of datalekken worden gevonden, kost de service niets. Als we datalekken ontdekken, weet je het meteen.

SECURITY BOOST

Je hebt niets te verliezen. Integendeel! Als onafhankelijke partij treden we vaak op als controleorgaan voor onze klanten. Zelfs als je IT-leverancier zegt dat je omgeving superveilig is, kun je die dubbel laten controleren. Op die manier is je bedrijf altijd in top-cyber-vorm.

Hacking feiten en cijfers

Hacking is een serieus probleem voor bedrijven.

dagen duurt het gemiddeld vooraleer een hack wordt ontdekt

% van alle hacking aanvallen kunnen eenvoudig voorkomen worden

% van de digitale inbraken zijn reeds meer dan 1 jaar "patchable"

Wat is het doel van ethical hacking?

Wat is het resultaat van ethical hacking?

Is ethical hacking noodzakelijk?

Is ethical hacking duur?

Neen. In vergelijking met een datalek ten gevolge van een gehackte omgeving is ethical hacking en/of een pentest zelfs goedkoop.

Forensisch onderzoek, het herprogrammeren van software en het afhandelen van security incidenten ten gevolge van een datalek zijn maar liefst 25 x duurder dan het voorkomen hiervan (info: Ponemon Institute). Het is daarom belangrijk dat u beveiligingslekken tijdig oplost.

Spreek vandaag nog met onze ethische hackers! E-mail: info@sectricity.com

Bel: België +32 9 298 05 85 of Nederland +31 85 888 16 44

>> Neem vrijblijvend contact op <<