Beveiligingslek melden

Wij vinden het belangrijk dat onze diensten veilig zijn en doen hier alles aan om deze veilig te houden. Als je toch een probleem of zwakke plek vindt in onze beveiliging, dan horen we het graag. Dan kunnen wij meteen de benodigde maatregelen treffen om de gevonden kwetsbaarheid op te lossen. Het melden van een kwetsbaarheid noemen we responsible disclosure.

Hoe meld je een probleem?

  • Maak zo snel mogelijk een melding na een ontdekking van een kwetsbaarheid. Stuur de bevinding via ons upload portaal. Lukt het niet? Neem dan contact op via: +31588458000
  • Geef ons zoveel mogelijk informatie zodat wij het probleem kunnen reproduceren. Denk hierbij aan een uitgebreide beschrijving van je uitgevoerde stappen, gebruikte IP-adressen, logs, screenshots, enz. Dit helpt ons het probleem zo snel mogelijk op te lossen.
  • Graag ontvangen we je e-mailadres en telefoonnummer. Zodat we contact met je op kunnen nemen als we meer vragen hebben en je te bedanken voor je hulp.

Waar moet je op letten?

  • Deel de informatie over de kwetsbaarheid niet met derden.
  • Vernietig de gegevens die je hebt verkregen.
  • Ga niet verder dan noodzakelijk is om het probleem aan te tonen.
  • Maak geen misbruik van de kwetsbaarheid. Wordt dat wel gedaan, dan doen we aangifte.

Wat is niet toegestaan?

  • Plaatsen van malware.
  • Maken van kopie├źn van gegevens, wijzigen van gegevens of verwijderen van gegevens.
  • Aanpassingen maken in of aan onze systemen.
  • Meerdere malen toegang tot onze systemen verkrijgen of delen met anderen.
  • Gebruik maken van “brute force” technieken voor het toegang verkrijgen tot onze systemen.
  • Gebruik maken van (D)DoS of social engineering technieken.

Wat hoef je niet te melden:

  • Fysieke aanvallen.
  • Niet reproduceerbare situaties.
  • Exploits die niet kunnen worden gevalideerd met een tweede methode/tool.
  • Gebruikersfouten
  • Simpele opsommingen, versienummers van OS, services en poorten.
  • Publiekelijk beschikbare bestanden die publiekelijk beschikbaar horen te zijn.
  • Missende HTTP-only flag op cookies die geen gevoelige informatie bevatten.
  • Niet complete of missende SPF, DKIM of DMARC records.
  • Diensten draaiende bij derde partijen (raadpleeg hun eigen responsible discloure pagina).
  • E-mail adressen gevonden bij een datalek bij een derde partij.
  • Kwetsbaarheden waarvoor in de laatste 2 weken patches vrijgegeven zijn.
  • URLS redirects (naar een geldige pagina).

Bekende problemen

Wanneer problemen al bij ons bekend zijn en waar al aan gewerkt wordt, of die wij als geaccepteerde risico’s aangewezen hebben, zal de melding niet verder in behandeling worden genomen. Dit zal dan door onze medewerkers worden aangegeven.

Wat mag je van ons verwachten?

  • Wij sturen je binnen 1 werkdag een reactie zodat je weet dat de melding is aangekomen.
  • Wij sturen je binnen 5 werkdagen een mail met een inhoudelijk reactie en indien mogelijk een verwachte oplosdatum.
  • Wij gaan vertrouwelijk om met je melding en wij houden je op de hoogte van de voortgang.
  • Wij geen juridische consequenties verbinden aan de melding, indien rekening gehouden wordt met bovenstaande.