Responsible disclosure

Wij nemen strenge beveiligingsmaatregelen voor onze systemen. Toch kan het zijn dat u daar een zwakke plek in tegenkomt. Daarom werken wij samen met het Nationaal Cyber Security Centrum (NCSC). Het NCSC treedt op als tussenpersoon en behandelt meldingen van kwetsbaarheden.

Zwakke plek gevonden? Volg deze 4 stappen:

  1. Meld de kwetsbaarheid via het Nationaal Cyber Security Centrum. Gebruik het NCSC-formulier voor Coordinated Vulnerability Disclosure (CVD).
  2. Versleutel de bevindingen met de Pretty Good Privacy-key (PGP) van het NCSC. Zo voorkomt u dat de informatie in verkeerde handen komt. PGP is een manier om berichten te beveiligen die vaak gebruikt wordt. Bekijk de PGP-key op de website van het NCSC.
  3. Vertel ons wat u weet, zodat wij het probleem kunnen opsporen en oplossen. Vermeld het IP-adres of de URL van het getroffen systeem en een duidelijke beschrijving van de kwetsbaarheid. Bij ingewikkelde kwetsbaarheden is soms extra informatie nodig, zoals een Proof of Concept (PoC). Dit is een voorbeeld waarmee u het probleem laat zien.
  4. Laat uw contactgegevens achter. Zo kan het NCSC contact met u opnemen en u laten weten of het probleem is opgelost. Vermeld in ieder geval uw e-mailadres of telefoonnummer. Wij communiceren bij voorkeur via e-mail. Geef ook uw eigen PGP-key, voor veilige communicatie.

Meld snel en zorgvuldig

  • Meld de kwetsbaarheid zo snel mogelijk nadat u deze heeft ontdekt.
  • Deel de kwetsbaarheid niet met anderen totdat het is opgelost.
  • Ga zorgvuldig om met de informatie over de kwetsbaarheid. Voer alleen handelingen uit die nodig zijn om het probleem aan te tonen. 

Maak geen misbruik van een kwetsbaarheid

Gebruik de kwetsbaarheid alleen om het probleem aan te tonen. Maak er geen misbruik van.

  • Plaats geen malware.
  • Kopieer, wijzig of verwijder geen gegevens uit een systeem. U kunt in plaats daarvan een directory listing van een systeem maken.
  • Probeer niet opnieuw toegang te krijgen tot het systeem.
  • Deel de toegang niet met anderen.
  • Probeer geen toegang te krijgen door wachtwoorden te raden.
  • Misbruik de kwetsbaarheid niet voor denial-of-service of social engineering.
  • Deel geen video’s van de kwetsbaarheid, bijvoorbeeld via YouTube.

Hoe wij met uw melding omgaan

  • Als u deze stappen volgt en geen misbruik maakt van de kwetsbaarheid, heeft uw melding geen juridische gevolgen. Wij behandelen uw melding vertrouwelijk. Wij delen uw persoonsgegevens niet met derden zonder uw toestemming. Tenzij wij daartoe wettelijk verplicht zijn of dit volgt uit een rechterlijke uitspraak. 
  • Na uw melding stuurt het NCSC binnen 1 werkdag een ontvangstbevestiging.
  • Wij reageren via het NCSC binnen 5 werkdagen met een beoordeling van de melding en een verwachte datum voor een oplossing.
  • Wij laten u weten hoe het verder gaat. En lossen de kwetsbaarheid zo snel mogelijk op.
  • In onderling overleg met u bepalen we wanneer en op welke manier hierover wordt gecommuniceerd.
  • Als dank voor uw hulp biedt het NCSC een beloning. De grootte van de beloning is afhankelijk van de ernst van de kwetsbaarheid en de kwaliteit van de melding. Het moet wel gaan om een  serieuze kwetsbaarheid, die voor het NCSC nog onbekend is.

Meer informatie

  • Deze tekst is een aanvulling op de informatie van het NCSC. Lees meer op de website van het NCSC op de pagina Kwetsbaarheid melden (CVD).