Responsible Disclosure
Klantel hecht veel belang aan de beveiliging van zijn platform en de gegevens van zijn gebruikers. Als u een kwetsbaarheid ontdekt, stellen we het op prijs als u ons dat op een verantwoorde manier laat weten.
Onafhankelijke beveiligingsmonitoring
De code en afhankelijkheden van Klantel worden continu gescand door Aikido Security op kwetsbaarheden, blootgestelde secrets en verouderde dependencies. Zo worden beveiligingsproblemen snel opgespoord en verholpen.
Het publieke security-rapport wordt binnenkort hier gekoppeld.
Meld een kwetsbaarheid
Stuur uw bevinding per e-mail naar security@klantel.be. Vermeld bij voorkeur:
- Een beschrijving van de kwetsbaarheid en de mogelijke impact
- Stappen om het probleem te reproduceren
- Betrokken URL of component
- Uw contactgegevens (optioneel)
Beveiligingsmaatregelen
Klantel past onder andere de volgende technische beveiligingsmaatregelen toe:
- Versleutelde verbindingen (TLS) voor alle communicatie.
- Wachtwoorden worden gehashd met bcrypt (kostfactor 12); nooit in klare tekst opgeslagen.
- HttpOnly-sessiecookies met SameSite-instelling ter bescherming tegen CSRF en XSS.
- Rate-limiting van inlogpogingen per gebruiker en per IP-adres.
- Persistente beveiligingslog van inlogpogingen (IP-adres, browser-identificatie en resultaat — succes, mislukt of geblokkeerd), bewaard gedurende 90 dagen voor fraudepreventie en incidentonderzoek.
- Hash-keten op het audit-logboek om ongeoorloofde wijzigingen te detecteren.
- Multi-tenant isolatie: data van verschillende organisaties is strikt gescheiden.
Onze aanpak
- Wij bevestigen uw melding binnen 3 werkdagen.
- Wij beoordelen de kwetsbaarheid en informeren u over de ernst en de verwachte oplossingstermijn.
- Kritieke problemen worden binnen 7 dagen verholpen; minder kritieke binnen 30 dagen.
- Wij publiceren een melding in onze changelog zodra het probleem is opgelost, tenzij u anonimiteit wenst.
Spelregels
Wij vragen onderzoekers om:
- Geen gegevens in te zien of te wijzigen die niet van u zijn.
- Geen denial-of-service-aanvallen uit te voeren.
- Het probleem niet publiek te maken vóór wij het hebben opgelost.
- Enkel systemen te testen die u zelf beheert of waarvoor u uitdrukkelijk toestemming hebt.
Als u zich aan deze regels houdt, ondernemen wij geen juridische stappen tegen uw onderzoek. Wij bieden op dit moment geen bug-bounty-programma aan, maar erkennen uw bijdrage in onze changelog (indien gewenst).
Versleutelde communicatie
Voor gevoelige meldingen kunt u uw bericht versleutelen met onze PGP-publieke sleutel. Importeer de sleutel via de downloadlink hieronder of kopieer het blok rechtstreeks.
Key-ID: DE7F D900 CF09 DA8A
Fingerprint: CED5 74BB F3A1 E247 7396 E508 DE7F D900 CF09 DA8A
Algoritme: RSA 4096-bit · aangemaakt 2026-06-12
E-mail: security@klantel.be
Toon publieke sleutel (PGP armor-formaat)
-----BEGIN PGP PUBLIC KEY BLOCK----- mQINBGow73QBEADkpyTvDngNBpeMDnySPj+L+OWXDunYddXYb7Sv5BZuRcz/XVCk 58R56uCvfgAXaXFVw8SB21gl27xNSFdFhycZr9/J5sj7mnvTeoq61olHOMFK5gkP iFRAd3Dioypl9xsZsr3umEdsqbN15oFg0LnFR1KjPwKi+6uHi4CsxLqkmn+/l/u+ 5g7P+FG69fg8UzpcDwUR4roU4JuHzUg+b8eYPNLpLFGHS60jneOF/DWJWY4/muUb MOUuJ6MQF36xL9EhSStLyl3Kmse/7dX+CEuqNgcCl+sc5AXliv8tUZ4tlK72US8B 5u/472ZWQAmNvh79Tj4gLgd8lMd0XtDlru8xmsXnAJfVgfAifGUbgzN75Hpqujqx 753w0sO4nHgJvK7wncdGUB9F9+k3dEqzi+5cKV9gYR3FkWEJ/0KCenXNRUyXpjpr jUAqQwr3YB3HML2VSyvtW279oEh+YHcqXhOqFPLUlG3DRVWfK6r/apfvW0qe1RRu ZM/tcjBtDJAvd8KAG3TEzXSSRpDfXQVbPHvcVcBMUVF6Ss0iKx0ef+aPuphuthmA 5SqO0JAFRxYqmvGfgurFrZEpJR7gUNgav2p+oyNhmoN6LcPu0omsszdjZxoep+5k Q6vUTB/Xr7/AhRustMQnW7Bi+9bwx5jDJhb0ujEKLtNz+4mt+lw12gFW8QARAQAB tB1LbGFudGVsIDxzZWN1cml0eUBrbGFudGVsLmJlPokCbQQTAQgAVxYhBM7VdLvz oeJHc5blCN5/2QDPCdqKBQJqMO90GxSAAAAAAAQADm1hbnUyLDIuNSsxLjEyLDAs MwIbAwULCQgHAgIiAgYVCgkICwIEFgIDAQIeBwIXgAAKCRDef9kAzwnaisJDEAC2 b6dDjbtWmax0My9cAY0TlGXPpGYUfrMF4knWg4zaZXWFmyYin0Svj6ctlhpjLSuH DTBPn45gWksHkZ6Gx4O4WqhnjMEBYqfWl4zd23Ov1bij7e0E1fdd21HjbMr8FNIo lMjsgCJKz/tuLDmRysTWq3gyul7s3JqNiu03GoRNF6RrKPiZlofHdNRgBZBP+3Ib NcsJM9pi0IAr6ht47ctOkyMCAl91UUF69fNAbLgtIyh71iIFZ1ViFKuPTwmJdnRs 7aF7cY1tuYkfwpxNmIqcpNhXWmtCxtdru7p5yMt9RADnPo2o5AYyRQi7fj9tZZpC PuY6v1DL0FJ/7xNt3j322HJmzLNAJgkW6yfLWtfUrqiJQD+v3v05FNFAUWbLk/SR JzYUmz5Il8dd+rSK2hHVSHRxz07veEtF6v7j623NqkdVsw6Q52FyP9+YmPZhJWH+ UPUGCWyJKvoFQ76ZBrxfc0/3eVfOE7wlpScJ8gvJ6VPpKyJsoHmgDtOgbSyHiCKM PC8kN0rIlIYML4gLCY4lFFqmrUAJcF2osy0xIw2ld8Al4nwT1xcgnMyInxhv4kP3 UKzAUakaMld6rz2bIhu7htivnQ6saueK8zJWwbo5D2KnV8w/NfhTyxXlqYkt76Uh dKdW/qTbFgjeFR6nH9Mhnyem8EpYwSZIqQHK0MdWG7kCDQRqMO90ARAAnd1P2kON T8b+pHEiLKmAIUVog+AEqQZLKLIhsKYESaeoVc99aQnUoLU+GzxmSUMltqZTlZ4c 356gDj8WdWQjbZXemF/pE3ld7IUIvfLXoNmEaLliTxMhD36LA6ESwxT1jc3F6yzo iixfisV5sFQzCM2o8xTv9H2h9cZjv8GmB4fKNemSAmin80r5yutBDZc7Jw51JeD7 oS5MqmH/faq/5vEp5mLewmLL7j8zHHRchQYsfiFE7xN0KzIb7kiGwzj8SoqudV3U 4lxjEDMN/9OoWPAXAMpoaKO/1wiSYl1OWQAM549tvPcUTkj7ysgOxhpaMGsUf1rZ m8FV3XLI/cdjglbxXchxgKXmX7A6s9VJO3PN5atBM4kBcCaaS4cLZRcMhhdWbqpk QbwZ/XVq0xJKwh7T0dPHM0u+wo3b9G3Ayy4Z0mFpJfz7YoOf7/sJkyRQMCoqm9m5 uv+jjUr7pD5hO8EtS7cflZJyGUxQ1l5Sqqv3fWOzeKcVJv8EekH0qbdJnE35AvZV h4TZWGzP1/VCBHtBqAyZj+dxxYxIPaWiSXx+JicvlUSGajKYnffg5QV6Y/ANFUT6 G4DNYBhRIe3HuW2R4pTZR6mATQn2G/+hRHGYy1BTWXCNOjsqACD8/yH82Qs8Idi3 lQEqoDV0gnPwtSn2mAasZv+rlZ/q1BLj9JsAEQEAAYkCUgQYAQgAPBYhBM7VdLvz oeJHc5blCN5/2QDPCdqKBQJqMO90GxSAAAAAAAQADm1hbnUyLDIuNSsxLjEyLDAs MwIbDAAKCRDef9kAzwnaijJgD/4lpN/a84+LxC3Z20VZRAxhXTz72ab2qezkFxNE e4Dddv4YqzHbklxL1mehRjOLYLBayu05BUcNXA95rNp3J/Xseoj4q+yT+EtjjEzO 6kJsZyAqNGGr7N/tkLcEqJ1o611lmNQUbZlnjFLwVfEoCT16+t7UW3vITb6kepGW LXKWbfO9RbTTQQZQHF8LkLppK6OhvQY8OEaSOgzIIBUapnqhFnyR2Sc10flw4HyN g1hhtDzNDaUaEHYNtEidWaNHOk5YgbJrsJkCeKUJ4nfLSn6ZxX1q3/PtBJihVy0u kZ1lm51MF+Hlr23IaSsMLdpa+W3abbu/vyNFnx0LA7SSL/yCUhmdfT6h1TFFnmoj tWhkWAnK+9MEZxaIZh+QAe/e5kmO8nsFK8QPEVCSxa8K1u87B1qqczz6o4jR+zZ2 Cmys+SNjURNxq8nexsxC/OB/1stkSir9iQlqiLtOxJnPXEgwKB5sn0B6lW7RhzCH X9GVB5T81CuUXqoVa08idaiZg0d0MzXWf2I72gz8dYme7Mx5lppJ1pkHP+njr/jA tOwmFEip6yKpu7erLv8O/zg6hNt8LZv5mKEwam8z6uE/ZZRLPN/zvsWyLmQmMo6a 4Ji3EXPH2W/ra3BLH7dZsikJevc9f8gnRi+c9z9mDe4HuZFke5U7B6uwBOtGH2fE JSu6TQ== =7Hyx -----END PGP PUBLIC KEY BLOCK-----
Importeer via GPG: gpg --import pgp-public-key.asc
Scope
In scope voor responsible disclosure:
klantel.been alle subdomeinen- Authenticatie & sessies (login, 2FA, wachtwoordreset)
- Multi-tenant isolatie (IDOR, cross-tenant datalek)
- Billing & Stripe-integratie
- API-endpoints & server actions
Buiten scope: sociale engineering, phishing, DDoS, kwetsbaarheden in derde-partijdiensten (Stripe, Resend en Europese cloud-hosting).