Heb je een kwetsbaarheid in onze systemen gevonden?

Als je een technische kwetsbaarheid in onze systemen ontdekt, is er een proces om dit te melden. Dit proces wordt Coordinated Vulnerability Disclosure (CVD) genoemd. Als je echter een kwetsbaarheid ontdekt in een systeem of product dat geen deel uitmaakt van ons platform, moet je dit in eerste instantie melden bij de eigenaar van dat specifieke systeem of product. Je moet alleen contact opnemen met ons technische team als de verantwoordelijke organisatie niet adequaat reageert om de kwetsbaarheid te verhelpen. In dergelijke gevallen treden wij op als tussenpersoon en proberen we de kwetsbaarheid onder hun aandacht te brengen. Als je vragen of opmerkingen hebt die niets te maken hebben met cyberbeveiliging, neem dan gerust contact met ons op via onze "Contact" pagina.

Als je kwetsbaarheden ontdekt die van invloed zijn op meerdere systemen of leveranciers, aarzel dan niet om contact op te nemen met ons technische team. In deze gevallen kunnen we helpen bij het coördineren van een oplossing voor de geïdentificeerde kwetsbaarheden. Je kunt deze kwetsbaarheden melden via ons contactformulier, waarna we contact met je opnemen om het oplossingsproces te vergemakkelijken.

Welke kwetsbaarheden kunnen het onderwerp zijn van een CVD?

Je kunt kwetsbaarheden aan ons melden als ze de veiligheid van het systeem in gevaar kunnen brengen. Dit kunnen bijvoorbeeld kwetsbaarheden zijn waarmee inlogformulieren kunnen worden omzeild of waarmee onbevoegden toegang krijgen tot databases met persoonlijke gegevens.

Het is belangrijk om op te merken dat niet elk systeemdefect een kwetsbaarheid is. De volgende defecten zullen waarschijnlijk niet leiden tot een inbreuk op de beveiliging en we vragen je dan ook vriendelijk om dergelijke problemen niet aan ons te melden:

• Defecten die geen invloed hebben op de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens.
• De beschikbaarheid van de WordPress xmlrpc.php functionaliteit wanneer het misbruik ervan beperkt is tot wat bekend staat als een 'pingback denial-of-service' aanval.
• De mogelijkheid om cross-site scripting toe te passen op een statische website of een website die geen gevoelige (gebruikers)gegevens verwerkt.
• De beschikbaarheid van versie-informatie, bijvoorbeeld via een info.php bestand. Een mogelijke uitzondering in dit scenario is wanneer de versie-informatie onthult dat het systeem software gebruikt die bekende kwetsbaarheden bevat.
• Het ontbreken van HTTP-beveiligingsheaders zoals gebruikt door mechanismen zoals Cross-Origin Resource Sharing (CORS), tenzij dit ontbreken van een beveiligingsheader aantoonbaar leidt tot een beveiligingsprobleem.
• Certificaten zoals SSL of domeinnamen die bijna verlopen zijn.

Als je twijfelt of het defect dat je hebt gevonden onder een van de bovenstaande uitzonderingen valt, kun je het defect nog steeds aan ons melden. Wij zullen dan bepalen of het defect een kwetsbaarheid is en de juiste vervolgactie ondernemen.

Hoe dien je een CVD in?

Neem de volgende stappen:

• Vul het contactformulier in en vertel ons wat je hebt gevonden.
• Beschrijf in je melding zo duidelijk mogelijk hoe het probleem kan worden gereproduceerd, omdat dit het oplossingsproces zal versnellen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar voor complexere kwetsbaarheden kan aanvullende informatie nodig zijn. In dergelijke gevallen nemen we contact met je op.
• Geef op zijn minst een e-mailadres of telefoonnummer zodat we contact met je kunnen opnemen als we vragen hebben. We communiceren het liefst per e-mail.

Zorg ervoor dat je:

• De kwetsbaarheid zo snel mogelijk meldt nadat je deze hebt ontdekt.
• Vertel niemand anders over het beveiligingsprobleem totdat je van ons hoort dat het is opgelost.
• Op een verantwoordelijke manier omgaat met kennis over de kwetsbaarheid, bijvoorbeeld door geen verdere actie te ondernemen met de kwetsbaarheid anders dan wat nodig is om de kwetsbaarheid aan te tonen.

Wat mag je niet doen?

Je mag nooit een van de volgende acties uitvoeren:

• Malware in het systeem introduceren.
• Gegevens in het systeem kopiëren, bewerken of verwijderen.
• Wijzigingen aanbrengen in het systeem.
• Herhaaldelijk toegang krijgen tot het systeem of toegang tot het systeem delen met anderen.
• Brute force aanvallen uitvoeren om toegang tot een systeem te krijgen.
• Denial of service-aanvallen of social engineering uitvoeren.

Principes van ons CVD-beleid

• Als je je melding in overeenstemming met de procedure indient, heeft je melding geen juridische gevolgen. We behandelen je melding vertrouwelijk en zullen je persoonlijke gegevens niet zonder je toestemming aan derden verstrekken, tenzij we daartoe verplicht zijn door de wet of een gerechtelijk bevel.
• We zullen jou alleen identificeren als de ontdekker van de kwetsbaarheid in kwestie als je ons daar toestemming voor geeft.
• We bevestigen de ontvangst van de melding binnen één werkdag en sturen je vervolgens binnen drie werkdagen een beoordeling van je melding. We houden je ook op de hoogte van de voortgang van het oplossen van het probleem.
• Ons beveiligingsteam zal zich inspannen om het door jou gemelde beveiligingsprobleem binnen maximaal 60 dagen op te lossen. Zodra het probleem is opgelost, zullen we met je overleggen om te bepalen of en hoe we de details van het probleem en de oplossing ervan publiceren.
• Ons beveiligingsteam zal ook een beloning uitloven om je te bedanken voor je hulp. Deze beloning kan variëren van koffie, een T-shirt tot cadeaubonnen, afhankelijk van de ernst van de kwetsbaarheid en de kwaliteit van het rapport. Om in aanmerking te komen voor een beloning moet de melding een ernstige kwetsbaarheid zijn die ons beveiligingsteam nog niet eerder heeft gezien.