MERCH

Vind een bug, krijg gratis merch

Wij zijn de Ethical Hacker Groep Nederland — en we walken the talk. Onze merch shop draait op echte betaal- en bestelinfrastructuur. Als jij een kritieke kwetsbaarheid vindt, sturen wij je een verrassingsmerch pakket. Gratis.

Scope

Alle publiek bereikbare onderdelen van shop.ehgn.nl en de bijbehorende API endpoints.

Wat levert het op?

Gratis verrassingsmerch pakket

Een verrassingspakket met EHGN merch. Wordt naar je opgestuurd zodra de bug bevestigd is.

Kritieke kwetsbaarheden

De volgende categorieën komen in aanmerking voor een verrassingsmerch pakket:

Toegang tot klantgegevens

Naam, adres, e-mail of bestelgegevens van een andere klant inzien of wijzigen. Elke vorm van IDOR of data leakage op klantdata.

API keys of credentials

Mollie API keys, WooCommerce credentials, Resend tokens of andere geheime sleutels achterhalen via de client, API responses of error messages.

Betalingsfraude

Prijzen manipuleren, gratis bestellen, betalingen omzeilen, of bestellingen op andermans kosten plaatsen.

Website neerhalen (DoS)

De shop onbereikbaar maken via een applicatie-level kwetsbaarheid. Denk aan ReDoS, resource exhaustion of logic bugs — geen brute-force traffic floods.

Remote Code Execution

Server-side code uitvoeren, command injection, SSRF met interne toegang, of ongeautoriseerde toegang tot de server omgeving.

Datalek / Data exfiltratie

Bulk export van besteldata, klantlijsten, of interne configuratie. Elke manier om data te extraheren die niet publiek hoort te zijn.

Webhook manipulatie

Nep Mollie webhooks sturen die leiden tot gratis bestellingen, dubbele leveringen, of ongeautoriseerde statuswijzigingen.

XSS / Account takeover

Stored of reflected XSS waarmee je sessies kunt stelen, admin panelen bereiken, of kwaadaardige content kunt injecteren op de site.

Spelregels

Test alleen op shop.ehgn.nl
Geen brute-force, DDoS of geautomatiseerde scanners
Geen data van andere gebruikers bekijken, opslaan of delen
Stop zodra je de kwetsbaarheid bevestigd hebt — niet verder exploiten
Meld via e-mail naar info@ehgn.nl

Buiten scope

Rate limiting zonder impact Missing headers zonder exploit Self-XSS Social engineering Phishing Physical access Third-party services (Mollie, Gelato, Vercel) Brute force / credential stuffing

Hoe melden?

Stuur je bevindingen naar:

info@ehgn.nl

Vermeld: wat je gevonden hebt, hoe je het gereproduceerd hebt, en wat de impact is. Screenshots of video's zijn welkom.