Heb je een probleem in onze beveiliging gevonden? Meld het dan snel want dan kunnen wij op zoek gaan naar een oplossing. Dergelijke meldingen noemt men ook wel vulnerability disclosure, responsible disclosure of coordinated vulnerability disclosure.

Security.txt

In april 2022 is RFC 9116 gepubliceerd. Daarmee is een duidelijke en goede manier beschikbaar om te communiceren over beleid en contactmogelijkheden met betrekking tot ‘vulnerability disclosure’.

Probleem melden

• Gebruik ons contactformulier met “Security.txt” als onderwerp.
• Geef ons daarmee zoveel mogelijk informatie. Dat helpt ons om het probleem te reproduceren en op te lossen. We willen graag een uitgebreide beschrijving met alle relevante gegevens, zoals url’s, ip-adressen, weblogs en schermafdrukken.
• We gebruiken eventueel je e-mailadres als we meer willen weten.

En dan:

• Vertel niemand over het beveiligingsprobleem dat je gevonden hebt.
• Ga niet verder dan nodig is om het probleem te bewijzen.
• Maak geen misbruik van het beveiligingslek. San doen wij aangifte.
• Vernietig na afloop alle gegevens die je hebt verkregen.

Al bekende problemen

Er kunnen ook problemen zijn die al bij ons bekend zijn. Daar werken we al aan of we accepteren de risico’s. Die problemen houden we niet online bij, maar ons IT-team is er wel van op de hoogte en zal dit dan aan jou doorgeven.

Onnodig om te melden

• Cosmetische issues, zoals: “de site ziet er niet goed uit in browser X”. Gebruik daarvoor dit formulier met deze onderwerpsregel.
• Fysieke aanvallen, in persoon.
• Situaties die liggen op gebruikersvlak, bijvoorbeeld werkplek onbeheerd laten, klik of toetsencombinaties.
• Resource uitputting / (Distributed) Denial of Service.
• Social engineering.
• Kwetsbaarheden waarvoor in de afgelopen 2 weken patches vrijgegeven zijn.
• Publiekelijk beschikbare bestanden die publiekelijk beschikbaar horen te zijn.
• Informatielekkage in de metadata.
• Publiekelijk geregistreerde ip-adressen.
• Situaties die niet kunnen worden gereproduceerd.
• Een exploit die niet kan worden bevestigd met een tweede methode of tool. Tool A zegt kwetsbaar, maar tool B zegt dat er niets aan de hand is.
• Een ontbrekende ‘HTTP-only’-vlag op cookies die geen gevoelige informatie bevatten.
• Ontbrekende security headers, options en flags.
• TLS-misconfiguratie zonder bewijs dat deze kwetsbaarheid kan worden misbruikt.
• Niet-complete of ontbrekende SPF, DKIM of DMARC records.
• E-mailadressen gevonden bij een datalek bij een derde partij.
• Url-redirects naar een geldige pagina.
• Lokale contentspoofing of clickjacking.
• Niet meer dan een opsomming van versienummers van besturingssystemen, services en poorten.
• Verouderde versies zonder bewijs van exploitatie.
• Diensten draaiende bij derde partijen; neem contact met hen op

Hoe gaan wij met meldingen om?

• Je krijgt automatisch een reactie vanuit ons helpdesk-systeem, zodat je weet dat je bericht bij ons binnen is.
• We beantwoorden je e-mail binnen 5 werkdagen, ondere andere met vermelding van de datum waarop we het probleem denken te hebben opgelost.
• Of we na het verhelpen van probleem erover publiceren, bepalen samen met jou.