Responsible Disclosure melding
omgaan met gevonden kwetsbaarheden
Responsible disclosure kan een goede bijdrage leveren aan het verhogen van de veiligheid van informatiesystemen en (software)producten. Aan het opstellen van het kader heeft het ministerie van Veiligheid en Justitie samengewerkt met melders, publieke en private organisaties.
Kwetsbaarheden in ICT-systemen van Vicus
Indien je een zwakke plek in één van de ICT-systemen van Vicus hebt gevonden, hoort Vicus dit graag van jou. Zo kan Vicus zo snel mogelijk de benodigde maatregelen nemen om de gevonden kwetsbaarheid te verhelpen. Om op een verantwoorde manier om te kunnen gaan met gevonden kwetsbaarheden, zijn onderstaande afspraken opgesteld. Hieraan mag je Vicus houden wanneer je een zwakke plek aantreft in een van de systemen.
Vicus vraagt jou:
- Je bevindingen te mailen naar privacy@vicus.nl. Versleutel de bevindingen indien mogelijk om te voorkomen dat de informatie in verkeerde handen valt.
- Voldoende informatie te geven om het probleem te reproduceren zodat Vicus het zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
- Contactgegevens achter te laten zodat Vicus met jou in contact kan treden om samen te werken aan een veilig resultaat. Laat minimaal een e-mail adres of telefoonnummer achter.
- De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.
- De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
- Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.
Vermijd dus in elk geval de volgende handelingen:
- Het plaatsen van malware.
- Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
- Het aanbrengen van veranderingen in het systeem.
- Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
- Het gebruik maken van het zogeheten "bruteforcen" van toegang tot systemen.
- Het gebruik maken denial-of-service of social engineering.
Wat je mag verwachten:
- Indien je bij de melding van een door jouw geconstateerde kwetsbaarheid in een ICT-systeem van Vicus aan bovenstaande voorwaarden voldoet, zal Vicus geen juridische consequenties verbinden aan deze melding.
- Vicus behandelt een melding vertrouwelijk en deelt persoonlijke gegevens niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
- Vicus kan jouw naam in de hall of fame vermelden als de ontdekker van een gemelde kwetsbaarheid.
- Vicus stuurt je een ontvangstbevestiging binnen een week.
- Afhankelijk van de ernstigheid van de melding reageert Vicus binnen drie tot tien werkdagen met de beoordeling van de melding, of de melding al bekend is, of we het gaan oplossen en een eventuele verwachte datum voor een oplossing.
- Vicus lost het door geconstateerde beveiligingsprobleem in een door Vicus ontwikkeld in eigen gebruik zijnd systeem op; zo snel mogelijk rekening houdend met de ernstigheid van de melding.
- Vicus brengt de melder op de hoogte wanneer het probleem is opgelost. Vicus doet geen uitspraak over de wijze waarop.
- Slechts na toestemming van Vicus kan worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, wordt gepubliceerd.
- Vicus biedt voor ernstige veiligheidslekken een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een vermelding in onze hall of fame, een T-shirt of een bedrag van maximaal 50 euro aan cadeaubonnen. Het moet hierbij wel gaan om een voor Vicus nog onbekend en serieus beveiligingsprobleem dat nog niet eerder bij Vicus is gemeld. Voor elk issue wordt maximaal eenmaal een beloning uitgereikt.
Thank you for sharing!
Hall of Fame
The following people contributed to the security of our website reporting a vulnerability and responsibly disclosing it to us. Thank you for your responsible efforts and fine cooperation!
- Gaurang Maheta (39278, 39279, 39280)
- Kinshuk Kumar (39372, 39373, 39374, 39367, 39368, 39408)
- Parth Narula (46599)
- Nikhil Rane (46710)