Meld zwakke plekken

Laat het ons weten als je een zwakke plek in een van onze systemen vindt, zodat we zo snel mogelijk maatregelen kunnen treffen. We willen graag met je samenwerken om onze gebruikers en systemen beter te kunnen beschermen.

Niet elke afwijking in een systeem is een kwetsbaarheid. Over het algemeen leiden de volgende afwijkingen niet tot een onveilige situatie. We vragen je daarom om voor onderstaande afwijkingen geen melding bij ons te maken:

  • Een afwijking die geen impact heeft op de beschikbaarheid, integriteit of vertrouwelijkheid van informatie.
  • De mogelijkheid tot cross-site scripting op een statische website of op een website waarop geen gevoelige (gebruikers)informatie wordt verwerkt.
  • De beschikbaarheid van versie-informatie via bijvoorbeeld een info.php-bestand. Een mogelijke uitzondering hierop is wanneer uit de versie-informatie blijkt dat het systeem gebruikmaakt van software met bekende kwetsbaarheden.
  • De afwezigheid van HTTP security headers zoals gebruikt door onder andere Cross-Origin Resource Sharing (CORS), tenzij deze afwezigheid aantoonbaar tot een beveiligingsprobleem leidt.

Scan niet ons hele netwerk

Ons beleid voor coordinated vulnerability disclosure is geen uitnodiging om ons netwerk uitgebreid actief te scannen om zwakke plekken te ontdekken. We monitoren ons bedrijfsnetwerk. Hierdoor is de kans groot dat een scan wordt opgepikt en er door ons securityteam onderzoek wordt gedaan. Hierdoor worden mogelijk onnodige kosten gemaakt.

Strafbare handelingen

Het is mogelijk dat je tijdens je onderzoek handelingen uitvoert die volgens het strafrecht strafbaar zijn. Als je je aan de onderstaande voorwaarden hebt gehouden, dan zullen wij geen juridische stappen tegen je ondernemen. Het Openbaar Ministerie behoudt altijd het recht om zelf te beslissen of je strafrechtelijk vervolgd wordt. Het Openbaar Ministerie heeft hierover een beleidsbrief gepubliceerd.

Voorwaarden voor het melden van zwakke plekken

We vragen je:

  • je bevindingen zo snel mogelijk te mailen naar securityofficer@nuffic.nl;
  • de kwetsbaarheid niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of door het veranderen of verwijderen van gegevens, en extra terughoudendheid te betrachten bij persoonsgegevens;
  • de kwetsbaarheid niet met anderen te delen totdat deze is opgelost;
  • geen gebruik te maken van aanvallen op fysieke beveiliging of applicaties van derden, van social engineering, distributed denial-of-service, of spam;
  • voldoende en duidelijke informatie te geven om de kwetsbaarheid te reproduceren zodat wij deze zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem, een omschrijving van de kwetsbaarheid en de uitgevoerde handelingen voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Onze belofte aan jou

Wat wij beloven:

  • We reageren binnen 5 werkdagen op je melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • We behandelen je melding vertrouwelijk en zullen je persoonlijke gegevens niet zonder jouw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • We houden je op de hoogte van de voortgang van het oplossen van de kwetsbaarheid.
  • Anoniem of onder een pseudoniem melden is mogelijk. Het is goed om te weten dat dit betekent dat wij dan geen contact met je kunnen opnemen over bijvoorbeeld de vervolgstappen, voortgang van het dichten van het lek, publicatie of de eventuele beloning voor de melding.
  • In berichtgeving over de gemelde zwakheid zullen we, als je dit wilt, je naam vermelden als de ontdekker van de kwetsbaarheid.
  • We streven ernaar om alle problemen zo snel mogelijk op te lossen en alle betrokken partijen op de hoogte te houden. We worden graag betrokken bij een eventuele publicatie over de kwetsbaarheid nadat deze is opgelost.

Ons beleid is gebaseerd op het Modelbeleid en procedure responsible disclosure hoger onderwijs van SURFnet en het voorbeeldbeleid van Floor Terra, dat is gepubliceerd onder een Creative Commons Naamsvermelding 3.0-licentie.