Wij doen er alles aan om onze systemen veilig te houden. Vind je nu toch een probleem in onze beveiliging? Meld het dan, want dan kunnen wij het meteen oplossen. Dit melden noemen we vulnerability disclosure (ook wel bekend onder de termen coordinated vulnerability disclosure en responsible disclosure).

Hoe meld je een probleem?

  • Stuur het naar [email protected].
  • Geef ons zoveel mogelijk informatie; dat helpt ons om het probleem te reproduceren en op te lossen; dus een uitgebreide beschrijving met IP-adressen, logs, screenshots, enzovoort.
  • Geef ons bij voorkeur je contactgegevens, een telefoonnummer of een mailadres. Dan kunnen we je bereiken als we meer willen weten.

Waar moet je op letten?

  • Vertel er niemand anders over.
  • Vernietig gegevens die je hebt gekregen.
  • Ga niet verder dan nodig om het probleem aan te tonen.
  • Maak geen misbruik van het beveiligingslek. Anders doen we aangifte.

Wat je niet hoeft te melden:

  • Resource uitputting / (Distributed) Denial of Service.
  • Situaties die niet kunnen worden gereproduceerd.
  • Cosmetische issues, bijvoorbeeld ziet er niet goed uit in browser A. (deze kun je wel melden bij [email protected]).
  • Publiekelijk beschikbare bestanden die publiekelijk beschikbaar horen te zijn.
  • Verouderde versies zonder bewijs van exploitatie.
  • Diensten draaiende bij derde partijen (raadpleeg vooraf hun eigen responsible disclosure pagina).

Bekende problemen

Er zijn mogelijk problemen die al bij ons bekend zijn en waaraan we werken of die wij als geaccepteerde risico’s erkennen. Deze problemen benoemen wij niet op de website. Ons team is daarvan wel op de hoogte en zal dit dan aangeven. Hierdoor wordt het issue niet in behandeling genomen.

Hoe gaan wij om met je melding?

  • Wij sturen je binnen 2 werkdagen een mail, zodat je weet dat je bericht bij ons binnen is.
  • Wij sturen je binnen 5 werkdagen een mail met een inhoudelijke reactie en de datum waarop we het verwachten op te lossen. We lossen het zo snel mogelijk op, maar in ieder geval binnen 3 maanden.
  • Wij houden je op de hoogte van de voortgang.
  • Wij bepalen samen met jou of we hierover publiceren. We vermelden je naam alleen als jij dat wilt.

Security.txt

Met de publicatie van RFC 9116 in 2022 is er een eenduidige manier beschikbaar voor organisaties om hun ‘vulnerability disclosure’-beleid en contactpersonen te publiceren. Daartoe is een tekstformaat bedacht dat zowel voor machines als mensen leesbaar is en ook op onze website gepubliceerd is in het bestand security.txt.