Naar de hoofdinhoud

Gecoördineerde melding van kwetsbaarheden (CVD)

De veiligheid van onze systemen en gegevens is onze hoogste prioriteit. Maar ondanks onze inspanningen, zullen er altijd kwetsbaarheden zijn. Daarom vragen we je hulp om onze systemen en gegevens beter te beschermen. Als je een kwetsbaarheid ontdekt, willen we dit graag als eerste weten. Dan kunnen we stappen ondernemen om het zo snel mogelijk aan te pakken. Dit soort melding staat ook bekend als een Gecoördineerde Melding van Kwetsbaarheden of CVD (Coordinated Vulnerability Disclosure).

Wel doen:

  • Meld een kwetsbaarheid bij ons door je bevindingen hier in te sturen via Zerocopter. Op deze pagina vind je ook informatie over welke gebieden en kwetsbaarheden wel of niet gemeld kunnen worden.
  • Doe je melding op een manier dat je de vertrouwelijke informatie van de melding beschermt, zodat anderen geen toegang krijgen tot deze informatie.
  • Meld een kwetsbaarheid zo snel mogelijk om het risico op misbruik te verminderen.
  • Voeg voldoende informatie toe zodat we de kwetsbaarheid kunnen herleiden en oplossen. Meestal is het IP-adres of de URL van het desbetreffende systeem en een beschrijving van de kwetsbaarheid voldoende. Maar bij complexe kwetsbaarheden hebben we vaak meer uitleg nodig.

Niet doen:

  • Gebruik maken van de kwetsbaarheid die je hebt ontdekt, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen of onze gegevens te verwijderen of bewerken.
  • De kwetsbaarheid delen met anderen voordat deze is opgelost.
  • De kwetsbaarheid gebruiken om aanvallen uit te voeren op fysieke veiligheid, engineering, distributed denial of service (DDoS), spam of de (web) applicaties van derden.
  • Herhaald toegang verkrijgen tot het systeem of toegang delen met anderen.
  • Actief automatische scans uitvoeren op onze infrastructuur en systemen om kwetsbaarheden te identificeren.
  • 'Gewelddadige' technieken gebruiken om toegang te verkrijgen tot onze systemen of gegevens, aangezien dit niet als een kwetsbaarheid wordt beschouwd.

Onze toezeggingen:

Als dank voor je hulp, bieden we een beloning voor elke gemelde kwetsbaarheid die nog onbekend was bij ons. De hoogte van de beloning wordt bepaald door de ernst van de kwetsbaarheid. Betalingen worden uitgevoerd nadat het gemelde probleem is opgelost.

  • We houden je op de hoogte van de voortgang bij het oplossen van de kwetsbaarheid via Zerocopter.
  • We behandelen je melding vertrouwelijk en delen je persoonsgegevens niet met derden zonder je toestemming, tenzij we door de wet of een rechtsuitspraak hiertoe verplicht zijn.
  • We zullen geen gerechtelijke stappen ondernemen als je een kwetsbaarheid volgens de procedure meldt.