Direct naar content

Responsible Disclosure

Het Nibud besteedt veel aandacht aan de veiligheid van Nibud-websites en online tools. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er een zwakke plek is.

We werken graag met je samen om de veiligheid van onze site nog beter te kunnen beschermen. Onze securityspecialisten zullen jouw bevinding(en) onderzoeken. We streven ernaar binnen een week te reageren op je melding. Mocht je een zwakke plek vinden, dan vragen we je:

  • Je bevindingen zo snel mogelijk bij ons te melden via het contactformulier.
  • Voldoende informatie te geven om het probleem te reproduceren zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn.
  • Geen tests uit te voeren die gebruik maken van aanvallen op fysieke beveiliging, social engineering of applicaties van derden.
  • Tijdens het onderzoeken van de gevonden kwetsbaarheid geen schade aan te richten of veranderingen in het systeem aan te brengen.
  • Geen gebruik te maken van social engineering om toegang te krijgen tot een systeem.
  • Geen brute force of (Distributed) Denial of Service uit te voeren.
  • De zwakheid niet te misbruiken door bijvoorbeeld het veranderen of verwijderen van gegevens of het plaatsen van malware. Wij nemen je melding altijd serieus en gaan elk vermoeden van een kwetsbaarheid uitzoeken.
  • Het probleem  niet met anderen te delen totdat we het hebben opgelost.
  • Niet meer data te downloaden of gegevens van onze systemen te kopiëren dan absoluut noodzakelijk is om het lek aan te tonen.
  • Je contactgegevens (e-mail en telefoonnummer) achter te laten, zodat we contact met je kunnen opnemen om samen te werken aan een veilig resultaat.

Wij beloven

  • Je melding vertrouwelijk te behandelen: we delen je persoonlijke gegevens niet zonder je toestemming. Uitzondering hierop is politie en justitie, in geval van aangifte of als gegevens worden opgeëist.
  • Je op de hoogte te houden van de voortgang van het oplossen van het probleem.
  • In de berichtgeving over het gemelde probleem je naam te vermelden als ontdekker, als je dat wenst.
  • Dat een toevallige ontdekking in onze online-omgeving niet tot aangifte tegen je zal leiden, mits je je aan de spelregels hebt gehouden en je in de geest van responsible disclosure hebt gehandeld.

Wat kun je melden?

Voorbeelden van kwetsbaarheden die gemeld kunnen worden:

  • Remote Code execution
  • Cross Site Scripting (XSS)-kwetsbaarheden
  • Cross Site Request Forgery (CSRF) kwetsbaarheden
  • Kwetsbaarheden met betrekking tot encryptie
  • Ongeautoriseerde toegang tot gegevens

Wat kun je niet melden

  • Ons beleid ten aanzien van de aanwezigheid of afwezigheid van SPF/DKIM/DMARC records.
  • Mogelijk verouderde server- of applicatieversies (van externe partijen) zonder bewijs dat deze versies kwetsbaar zijn en zonder bewijs van exploitatie.
  • Generieke kwetsbaarheden gerelateerd aan software of protocollen die niet onder controle van Nibud vallen.
  • Distributed Denial of Service (DDoS) aanvallen.
  • Spam of Social Engineering technieken.
  • Rapporten van reguliere scans zoals poortscanners.

 Nibud, februari 2023