Responsible disclosure

Onsweb en zijn partners vinden de veiligheid van hun systemen erg belangrijk. Ondanks alle zorg voor de beveiliging van de systemen kan een kwetsbaarheid voorkomen die nog niet bekend is. Als je een kwetsbaarheid in een van onze systemen vindt, dan horen wij dit graag. Je kunt deze bij ons melden. We kunnen dan zo snel mogelijk maatregelen treffen. We werken graag met je samen om onze gebruikers en systemen beter te kunnen beschermen.
English version

Geen uitnodiging tot actief scannen

Ons zogenoemde responsible disclosure beleid is geen uitnodiging om ons netwerk of onze systemen uitgebreid actief te scannen op kwetsbaarheden. Wij monitoren namelijk zelf ook ons bedrijfsnetwerk. Daardoor is de kans groot dat we je scan oppikken, dat ons security team onderzoek doet, wat mogelijk leidt tot onnodige kosten.

Strafrechtelijke vervolging

Het is mogelijk dat je tijdens je onderzoek handelingen uitvoert die volgens het strafrecht strafbaar zijn. Heb je je aan onderstaande voorwaarden gehouden, dan ondernemen wij geen juridische stappen tegen je. Het Openbaar Ministerie heeft echter altijd het recht om zelf te beslissen of het je strafrechtelijk vervolgt. Lees hierover de beleidsbrief van het Openbaar Ministerie(pdf) en deze link op de website van het NCSC (pdf). 

Wat vragen we jou?

  • Mail je bevindingen zo snel mogelijk naar security@onsweb.nl. Versleutel je bevindingen om te voorkomen dat de informatie in verkeerde handen valt. 
  • Misbruik de gevonden kwetsbaarheid niet door bijvoorbeeld: 
    • Meer data te downloaden dan nodig is om het lek aan te tonen
    • De gegevens te veranderen of verwijderen 
  • Wees extra terughoudend bij persoonsgegevens. 
  • Deel de kwetsbaarheid niet met anderen totdat deze is opgelost. 
  • Maak geen gebruik van aanvallen op fysieke beveiliging of applicaties van derden, van social engineering, (distributed) denial-of-service, malware, of spam. 
  • Geef voldoende informatie om de kwetsbaarheid te reproduceren, zodat wij deze zo snel mogelijk kunnen oplossen. Meestal zijn het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid en de uitgevoerde handelingen voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn. 

Vermijd dus in elk geval de volgende handelingen:

  1. het plaatsen van malware.
  2. het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
  3. het aanbrengen van veranderingen in het systeem.
  4. het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  5. het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.
  6. het gebruik maken van denial-of-service of social engineering.

Onze belofte aan jou

  • Wij reageren binnen 3 werkdagen met onze beoordeling van de melding en een verwachte datum voor een oplossing. 
  • Wij behandelen je melding vertrouwelijk en zullen je persoonlijke gegevens niet zonder je toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. 
  • Wij houden je op de hoogte van de voortgang van het oplossen van de kwetsbaarheid. 
  • Je kunt anoniem of onder een pseudoniem melden. Wij kunnen dan echter geen contact met je opnemen over bijvoorbeeld de vervolgstappen, voortgang van het dichten van het lek, publicatie of de eventuele beloning voor de melding. 
  • In berichtgeving over de gemelde kwetsbaarheid zullen wij, als je dit wilt, je naam vermelden als de ontdekker van de kwetsbaarheid. 
  • Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en alle betrokken partijen op de hoogte te houden. Wij zijn graag betrokken bij een eventuele publicatie over de kwetsbaarheid, nadat deze is opgelost. 
  • Wij kunnen je een beloning geven als dank voor je hulp en onderzoek, maar zijn hiertoe niet verplicht. De vorm van deze beloning staat niet van tevoren vast en wordt door ons per geval bepaald. Of we een beloning geven en de vorm waarin dat gebeurt, hangt af van de zorgvuldigheid van je onderzoek, de kwaliteit van de melding en de ernst van het lek. We streven echter naar een minimale beloning van 50 tot 350 euro in de vorm van waardebonnen of een donatie aan een goed doel.

Wij werken graag met je samen om onze gebruikers en systemen beter te kunnen beschermen!