Zoeken
Afstand
Uitgebreid zoeken
1
Inloggen Schrijf je in Nachtmodus
Een voertuig verkopen Community

Heb je een kwetsbaarheid in onze systemen gevonden?

Als je een technische kwetsbaarheid in onze systemen ontdekt, is er een proces om dit te melden. Dit proces wordt Coordinated Vulnerability Disclosure (CVD) genoemd. Maar als je een kwetsbaarheid tegenkomt in een systeem of product dat niet bij ons platform hoort, is je eerste stap om het te melden bij de eigenaar van dat specifieke systeem of product. Je moet alleen contact opnemen met ons technische team als de verantwoordelijke organisatie niet adequaat reageert om de kwetsbaarheid aan te pakken. In zulke gevallen treden we op als tussenpersoon en proberen we de kwetsbaarheid onder hun aandacht te brengen. Voor vragen of opmerkingen die niets met cybersecurity te maken hebben, kun je gerust contact met ons opnemen via onze "Contact" pagina.

Bovendien, als je kwetsbaarheden identificeert die meerdere systemen of leveranciers treffen, aarzel dan niet om contact op te nemen met ons technische team. In deze gevallen kunnen we helpen bij het coördineren van een oplossing voor de geïdentificeerde kwetsbaarheden. Je kunt deze kwetsbaarheden melden door ons contactformulier te gebruiken, en we nemen contact met je op om het oplossingsproces te vergemakkelijken.

Welke kwetsbaarheden kunnen onderwerp zijn van een CVD?

Je kunt kwetsbaarheden bij ons melden als ze de systeemveiligheid in gevaar kunnen brengen. Bijvoorbeeld kwetsbaarheden die het mogelijk maken om inlogformulieren te omzeilen of onbevoegde toegang geven tot databases met persoonlijke informatie.

Het is belangrijk om te weten dat niet elk systeemdefect als een kwetsbaarheid wordt beschouwd. Meestal leiden de volgende defecten niet tot een beveiligingslek, en we vragen je vriendelijk om zulke problemen niet bij ons te melden:

  • Defecten die de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens niet beïnvloeden.
  • De beschikbaarheid van de WordPress xmlrpc.php-functionaliteit wanneer misbruik beperkt is tot wat bekend staat als een 'pingback denial-of-service'-aanval.
  • De mogelijkheid om cross-site scripting te gebruiken op een statische website of een website die geen gevoelige (gebruikers)gegevens verwerkt.
  • De beschikbaarheid van versie-informatie, bijvoorbeeld via een info.php-bestand. Een mogelijke uitzondering hierop is wanneer de versie-informatie onthult dat het systeem software gebruikt met bekende kwetsbaarheden.
  • Het ontbreken van HTTP-beveiligingsheaders zoals gebruikt door mechanismen zoals Cross-Origin Resource Sharing (CORS), tenzij dit ontbreken aantoonbaar tot een beveiligingsprobleem leidt.
  • Certificaten zoals SSL of domeinnamen die bijna verlopen.

Als je twijfelt of het defect dat je hebt gevonden onder een van de bovenstaande uitzonderingen valt, kun je het defect nog steeds bij ons melden.

Daarna bepalen we of het defect een kwetsbaarheid vormt en ondernemen we passende vervolgstappen.

Hoe dien je CVD's in?

Volg deze stappen:

  • Vul het contactformulier in en vertel ons wat je hebt gevonden.
  • Beschrijf in je rapport zo duidelijk mogelijk hoe het probleem kan worden gereproduceerd, want dat helpt om het oplossingsproces te versnellen. Meestal zijn het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar complexere kwetsbaarheden kunnen extra informatie vereisen. In dat geval nemen we contact met je op.
  • Geef op zijn minst een e-mailadres of telefoonnummer op, zodat we je kunnen bereiken als we vragen hebben. We geven de voorkeur aan communicatie via e-mail.

Zorg ervoor dat je:

  • De kwetsbaarheid zo snel mogelijk meldt nadat je deze hebt ontdekt.
  • Niemand anders over het beveiligingsprobleem vertelt tot je van ons hoort dat het is opgelost.
  • Kennis van de kwetsbaarheid op een verantwoorde manier behandelt, bijvoorbeeld door geen verdere actie te ondernemen met de kwetsbaarheid anders dan wat nodig is om deze aan te tonen.

Wat mag je absoluut niet doen?

Voer nooit een van de volgende acties uit:

  • Malware in het systeem introduceren.
  • Gegevens in het systeem kopiëren, bewerken of verwijderen.
  • Wijzigingen aan het systeem aanbrengen.
  • Herhaaldelijk toegang tot het systeem krijgen of toegang met anderen delen.
  • Brute force-aanvallen uitvoeren om toegang tot een systeem te krijgen.
  • Denial of service-aanvallen of social engineering uitvoeren.

Principes van ons CVD-beleid

  • Als je je rapport volgens de procedure indient, zijn er geen juridische gevolgen in verband met je melding. We behandelen je rapport vertrouwelijk en zullen je persoonlijke gegevens niet zonder jouw toestemming aan derden verstrekken, tenzij dit wettelijk verplicht is of door een rechter wordt bevolen.
  • We zullen je alleen als ontdekker van de kwetsbaarheid noemen als je ons toestemming geeft.
  • We bevestigen de ontvangst van het rapport binnen één werkdag en sturen je daarna binnen drie werkdagen een beoordeling van je melding. We houden je ook op de hoogte van de voortgang bij het oplossen van het probleem.
  • Ons beveiligingsteam streeft ernaar het gemelde beveiligingsprobleem binnen maximaal 60 dagen op te lossen. Zodra het probleem is verholpen, overleggen we met je of en hoe we details over het probleem en de oplossing publiceren.
  • Ons beveiligingsteam biedt ook een beloning aan om je te bedanken voor je hulp. Deze beloning kan variëren van een kop koffie, een t-shirt tot cadeaubonnen, afhankelijk van de ernst van de kwetsbaarheid en de kwaliteit van het rapport." Om in aanmerking te komen voor een beloning, moet het rapport een serieus beveiligingslek zijn dat ons beveiligingsteam nog niet eerder heeft gezien.

Plek

Afstand: km