Responsible disclosure

Heb je een beveiligingsprobleem ontdekt in onze diensten? Laat het ons weten

Wij werken voortdurend aan de beveiliging van onze systemen en onze klantgegevens. Toch kan het soms gebeuren dat er een zwakke plek ontstaat. Kom je dit tegen, laat het ons dan alsjeblieft weten. We werken graag met je samen om onze systemen zo veilig mogelijk te houden.

Let op: ons beleid voor responsible disclosure is geen toestemming om onze systemen actief te scannen om zwakke plekken te ontdekken.

Bekijk onze Hall of Fame

Wat kun je melden?

Kwetsbaarheden die je kunt melden, zijn onder andere:

  • Het ontbreken van een beveiligde verbinding 
  • Cross-Site Scripting (XSS)-kwetsbaarheden
  • SQL injectie-kwetsbaarheden

Heb je een zwakke plek ontdekt? Het is vaak al genoeg als je het IP-adres of de URL aan ons doorgeeft. Vertel erbij wat je hebt geconstateerd en/of welke handelingen je hebt uitgevoerd toen je dit ontdekte.  Gaat het om een ingewikkelder probleem? Dan kan het zijn dat wij contact met je opnemen voor meer informatie.

Heb je een serieus probleem ontdekt? Dan krijg je van ons een beloning. Hoe dat werkt en wat de regels precies zijn, lees je hieronder bij ‘Voorwaarden voor beloning’.

Soms geven we geen beloning. Dat is het geval als het gaat om een zwakke plek die we al kennen of om iets waarvan we het risico accepteren.

Voorbeelden:

  • HTTP 404-codes of andere niet HTTP 200-codes
  • Onversleutelde tekst in 404-pagina’s
  • Ontbreken van ‘secure’ / ‘HTTP Only’-vlaggen op niet-gevoelige cookies
  • Gebruik van de HTTP OPTIONS Method
  • Het ontbreken van één of meerdere HTTP Security Headers
  • Ontbreken van SPF-, DKIM- en DMARC-records
  • Ontbreken van DNSSEC
  • Versiebanners op publieke services
  • Host Header Injection
  • Publiek toegankelijke bestanden en mappen met niet-gevoelige informatie
  • Clickjacking op pagina’s zonder inlogfunctie
  • Cross-site request forgery (CSRF) op formulieren die anoniem toegankelijk zijn
  • DDOS kwetsbaarheden
  • Rate limiting kwetsbaarheden zonder duidelijke impact
  • Issues met beveiligingscertificaten (SSL certificaten)

Wat kun je niet melden?

Je mag deze Responsible Disclosure-regeling niet gebruiken voor het melden van klachten. Ook is deze regeling niet bedoeld voor:

  • Melden van virussen
  • Melden van nep e-mails (phishing)
  • Melden dat een van onze websites niet beschikbaar zijn
  • Melden van fraude

Ik wil een melding doen

Wat fijn dat je met ons meedenkt. Versleutel alsjeblieft je melding met onderstaande PGP sleutel en stuur daarna je melding via de button hieronder.

PGP sleutel Melding doen

Spelregels

  • Deel je bevindingen alleen met ons en maak ze niet openbaar, ook niet als je vindt dat het lang duurt. Soms hebben we wat meer tijd nodig om het probleem op te lossen.
  • Gebruik geen geautomatiseerde tooling om beveiligingsproblemen te ontdekken.
  • Misbruik het probleem niet: download bijvoorbeeld niet meer data dan nodig is om het lek aan te tonen en verander of verwijder geen gegevens. Wees extra terughoudend als het om persoonsgegevens gaat.
  • Verspreid gevonden gegevens niet.
  • Stuur ons alleen (minimale) gegevens die nodig zijn om het probleem aan te tonen. Maak bijvoorbeeld een directory listing of screenshot.
  • Plaats geen backdoor om een beveiligingsprobleem aan te tonen. Hiermee kun je extra schade aanrichten en onnodige veiligheidsrisico’s veroorzaken.
  • Deel je bevindingen niet met anderen totdat wij laten weten dat het is opgelost.

Misschien doe je bij je onderzoek iets wat volgens de wet niet mag. Wij doen geen aangifte als je daarbij te goeder trouw, zorgvuldig en volgens bovenstaande spelregels handelt.

Hoe gaat het verder na je melding?

Je hoort binnen drie werkdagen van ons wat wij met je melding doen. Wij gebruiken je contactgegevens alleen voor communicatie over de melding en delen ze niet met anderen, behalve als dit moet volgens de wet. Bijvoorbeeld als justitie dit van ons vraagt, of als wij merken dat je niet te goeder trouw handelt (dus als je iets doet dat strafbaar is) en daarom aangifte doen bij de politie. 
Als je je melding anoniem doet, kunnen we je niet op de hoogte houden en kunnen we je geen beloning geven.

Voorwaarden voor beloning

Is het een serieus beveiligingsprobleem én gaat het om een probleem dat wij nog niet kennen? Dan willen we je graag extra bedanken met een of meerdere cadeaubonnen (maximaal € 300) en eeuwige roem met een vermelding in onze Hall of Fame.
De hoogte van de cadeaubonnen hangt af van het risico en de impact van het ontdekte beveiligingsprobleem. We doen ons best om vergelijkbare problemen een vergelijkbare beloning te geven.

Let op: als wij vinden dat er geen beveiligingsprobleem is of als wij vinden dat het risico laag en/of acceptabel is, dan geven we geen beloning.
Bij meerdere meldingen gaat de beloning naar de eerste melder. . Op basis van het risico en de impact van het beveiligingsprobleem krijg je cadeaubonnen tot maximaal € 300. 

Vermelding in onze Hall of Fame kan met je eigen naam of met een (normale) alias. Als je wilt, kunnen we een link toevoegen naar je LinkedIn- of Twitterprofiel (geen Facebook of Instagram).