Bij Cilde en KEA vinden wij de veiligheid van onze systemen en de gegevens van onze gebruikers erg belangrijk. Ondanks onze voortdurende inspanningen kan het voorkomen dat er toch een kwetsbaarheid aanwezig is. Als u een zwakke plek in (een onderdeel van) onze systemen heeft gevonden, dan horen wij dit graag zodat wij zo snel mogelijk passende maatregelen kunnen treffen. Wij werken graag met u samen om onze klanten, onze systemen en onze dienstverlening beter te beschermen.

Melden van een kwetsbaarheid

Wij vragen u uw bevindingen te sturen naar: groningen@sigbar.nl

Bij voorkeur ontvangen wij in uw melding:

De URL of het onderdeel waar het probleem optreedt (Cilde-website of KEA-platform)

Een duidelijke omschrijving van de kwetsbaarheid

Stappen om de kwetsbaarheid te reproduceren (proof of concept)

Eventueel: screenshots/logs (zonder onnodig persoonsgegevens te delen)

Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn.

Wat wij van u vragen

Om misbruik te voorkomen en het probleem veilig te kunnen verhelpen, vragen wij u:

Het probleem niet te misbruiken, bijvoorbeeld door meer data te downloaden dan nodig is om het lek aan te tonen, of door gegevens van derden in te zien, te verwijderen of aan te passen.

De kwetsbaarheid niet met anderen te delen totdat deze is opgelost. Vertrouwelijke gegevens die via de kwetsbaarheid zijn verkregen, dienen zo snel mogelijk te worden verwijderd en in ieder geval direct nadat het lek is gedicht.

Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, (D)DoS, spam, of aanvallen via applicaties/voorzieningen van derden.

Voldoende informatie te geven zodat wij het probleem kunnen reproduceren en oplossen.

Wat wij beloven

Wanneer u zich aan bovenstaande voorwaarden houdt, beloven wij:

Wij reageren binnen vijf werkdagen op uw melding met onze eerste beoordeling en (waar mogelijk) een indicatie van de vervolgstappen.

Wij zullen geen juridische stappen tegen u ondernemen naar aanleiding van uw melding.

Wij behandelen uw melding vertrouwelijk. Uw persoonsgegevens delen wij niet met derden zonder uw toestemming, tenzij dit noodzakelijk is om aan een wettelijke verplichting te voldoen. Melden onder een pseudoniem is mogelijk.

Wij houden u op de hoogte van de voortgang van het onderzoek en het oplossen van het probleem.

Indien u dit wenst, vermelden wij in berichtgeving over het probleem uw naam als ontdekker.

Wij streven ernaar om kwetsbaarheden zo snel mogelijk op te lossen en worden graag betrokken bij een eventuele publicatie over het probleem nadat het is verholpen.

Uitsluitingen

Wij nemen kritieke en middelhoge veiligheidsmeldingen altijd serieus. Sommige meldingen hebben echter een bijzonder lage impact en nemen wij mogelijk niet in behandeling, bijvoorbeeld omdat een wijziging de gebruiksvriendelijkheid onevenredig zou beperken of omdat het probleem op korte termijn op grotere schaal wordt opgelost.

Voorbeelden van zaken die doorgaans niet gemeld hoeven te worden:

• Generieke foutmeldingen (tenzij er kritieke informatie vrijkomt)
• Publieke bestanden zoals robots.txt
• CSRF-issues zonder directe gevolgen voor eindgebruikers (bijv. bij contactformulieren)
• SPF-issues van domeinen die niet gebruikt worden
• Ontbrekende DNSSEC-records
• Ontbrekende CAA-records
• Oude versies van client-side JavaScript libraries (tenzij er belangrijke beveiligingsproblemen mee zijn opgelost)
• Ontbrekende includeSubDomains of preloading in HSTS
• Ontbrekende CSP-headers