Coordinated Vulnerability Disclosure beleid

Coordinated Vulnerability Disclosure beleid

Kwetsbaarheid melden

Ontdek je een zwakke plek (kwetsbaarheid) op onze website of in een IT-systeem van Onderzoekdoen.nl? Meld dit dan. Onderzoekdoen.nl bekijkt het probleem en lost dit zo snel mogelijk op. Zo kunnen wij onze gegevens en systemen nog beter beschermen. Deze manier van samenwerken heet Coordinated Vulnerability Disclosure (CVD).

Onderzoekdoen.nl beveiligt de gegevens op haar website en in IT-systemen met zorg. Toch kan het voorkomen dat er zwakke plekken bestaan. Computercriminelen kunnen daar misbruik van maken. Dit doen ze door in te breken in het systeem. En gegevens te veranderen of te stelen voor criminele activiteiten. Als je deze zwakke plekken meldt, help je ons om de gegevens veilig te houden.

Scope

In principe zijn alle assets (websites, domeinen, IP-adressen) die bij Onderzoekdoen.nl horen in scope.

Welke kwetsbaarheden zijn in scope?

In principe zijn alle soorten kwetsbaarheden in scope, zolang er een impact is op de veiligheid van de diensten van Onderzoekdoen.nl. Privacy hoort hier ook bij.

Melding doen

• Meld de zwakke plek die je hebt ontdekt zo snel mogelijk via het formulier.
• Let op: als je anoniem meldt, kan Onderzoekdoen.nl geen contact met je opnemen.
• Geef voldoende informatie zodat Onderzoekdoen.nl het probleem zelf kan bekijken (reproduceren) en zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het kwetsbare systeem en een omschrijving van de zwakke plek voldoende. Bij kwetsbaarheden die ingewikkelder zijn, is vaak meer informatie nodig.
• Misbruik de zwakke plek niet. Bekijk bijvoorbeeld geen gegevens van anderen. Verwijder of verander ook geen gegevens van anderen. Als je gegevens downloadt, download dan niet meer dan nodig is om de zwakke plek aan te tonen.
• Deel het probleem niet met anderen totdat Onderzoekdoen.nl het probleem heeft opgelost.
• Verwijder alle vertrouwelijke gegevens die je hebt gedownload nadat Onderzoekdoen.nl het probleem heeft opgelost. Deel deze gegevens ook niet met anderen.
• Gebruik geen:
• technieken die de dienstverlening van Onderzoekdoen.nl in gevaar brengen
• aanvallen op fysieke beveiliging, zoals toegangspoortjes en sloten
• psychologische manipulatie (social engineering)
• aanvallen met heel veel inlogpogingen (brute-force attacks)
• spam

Na je melding

Onderzoekdoen.nl:

• reageert binnen 10 werkdagen op je melding met een beoordeling en een verwachte datum voor een oplossing.
• Houdt je op de hoogte over de voortgang van het oplossen van het probleem.
• onderneemt geen juridische stappen tegen jou over de melding, als je je aan de voorwaarden hebt gehouden.
• behandelt jouw melding vertrouwelijk en deelt je persoonlijke gegevens niet met derden zonder jouw toestemming. Een uitzondering hierop is als Onderzoekdoen.nl wettelijk verplicht is je persoonlijke gegevens te delen. Je mag de melding onder een schuilnaam doen.
• kan je een beloning geven als dank voor je hulp. Onderzoekdoen.nl bepaalt dit per melding. De grootte van de beloning hangt vooral af van de ernst van de kwetsbaarheid en de kwaliteit van je melding.

Onderzoekdoen.nl probeert alle problemen zo snel mogelijk op te lossen en alle betrokkenen daarover te informeren. Wij willen graag worden geïnformeerd als er over het opgeloste probleem gepubliceerd wordt.

Met dank aan Floor Terra voor zijn voorbeeldtekst op https://responsible-disclosure.nl.