Melden van kwetsbaarheden

Vind je een kwetsbaarheid bij Confider. Dan kun je dat bij ons melden. Het maken van zo’n melding heet Coordinated Vulnerability Disclosure (CVD). Op deze pagina staat het CVD-beleid van Confider.

Als je je aan onderstaande verwachtingen houdt, dan zullen wij geen juridische stappen tegen je ondernemen ten aanzien van je melding. Sterker nog, we vinden de rol van beveiligingsonderzoekers essentieel en werken dus graag samen aan een veiligere wereld.

Voor welke kwetsbaarheden kunt je een CVD-melding bij ons maken?

Je kunt bij ons kwetsbaarheden melden die een risico vormen voor de beveiliging van een systeem. Voorbeelden hiervan zijn kwetsbaarheden die het mogelijk maken om een login-formulier te omzeilen of op een onbedoelde manier toegang te krijgen tot een database met persoonsgegevens.

Niet elke afwijking in een systeem is een kwetsbaarheid. Over het algemeen leiden de volgende afwijkingen niet tot een onveilige situatie. We willen je daarom vriendelijk vragen om voor onderstaande afwijkingen geen CVD-melding bij ons te maken:

  • Een afwijking die geen impact heeft op de beschikbaarheid, integriteit of vertrouwelijkheid van informatie.
  • De beschikbaarheid van WordPress xmlrpc.php-functionaliteit wanneer misbruik ervan beperkt is tot een zogenaamde ping-back denial-of-service.
  • De beschikbaarheid van versie-informatie via bijvoorbeeld een info.php-bestand. Een mogelijke uitzondering hierop is wanneer uit de versie-informatie blijkt dat het systeem gebruikmaakt van software met bekende kwetsbaarheden.
  • De afwezigheid van HTTP security headers zoals gebruikt door onder andere Cross-Origin Resource Sharing (CORS), tenzij deze afwezigheid aantoonbaar tot een beveiligingsprobleem leidt.

Wanneer je twijfelt of de afwijking die je heeft gevonden onder een van bovenstaande uitzonderingen valt, kunt je deze afwijking uiteraard gewoon bij ons melden. Wij zullen vervolgens bepalen of het om een kwetsbaarheid gaat en de juiste vervolgacties uitzetten.

Hoe doet je een CVD-melding bij ons?

Wij vragen je de volgende procedure te volgen:

  • Mail jouw bevindingen naar security@confider.nl.
  • Beschrijf in jouw melding zo duidelijk mogelijk hoe het probleem kan worden gereproduceerd; dit draagt bij aan een snelle oplossing. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn. Wij nemen daarover dan contact met je op.
  • Laat ten minste een e-mailadres of telefoonnummer achter zodat wij bij vragen contact met je kunnen opnemen. Communicatie via e-mail heeft onze voorkeur.

Zorg ervoor dat:

  • je de melding zo snel mogelijk na ontdekking van de kwetsbaarheid doet.
  • je de informatie over het beveiligingsprobleem niet met anderen deelt totdat je van ons hoort of het is opgelost.
  • je verantwoordelijk omgaat met de kennis over het beveiligingsprobleem, bijvoorbeeld door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen.

Wat moet je niet doen?

Vermijd altijd de volgende handelingen:

  • Plaatsen van malware.
  • Kopiëren, wijzigen of verwijderen van gegevens in een systeem.
  • Aanbrengen van veranderingen in het systeem.
  • Herhaaldelijk toegang tot het systeem verkrijgen de toegang delen met anderen.
  • Gebruikmaken van ‘brute force’ om toegang tot een systeem te verkrijgen.
  • Gebruikmaken van denial-of-service of ‘social engineering’.

De uitgangspunten van ons CVD-beleid

  • Wanneer je de melding volgens de procedure doet, hebben wij geen reden om juridische consequenties te verbinden aan jouw melding. Wij behandelen jouw melding vertrouwelijk en delen persoonlijke gegevens niet zonder uw toestemming met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • Alleen met jouw toestemming vermelden wij jouw naam als de ontdekker van de gemelde kwetsbaarheid.
  • Wij sturen je binnen één werkdag een bevestiging van ontvangst. Binnen drie werkdagen reageren wij op jouw melding met de beoordeling van de melding. Wij houden je op de hoogte van de voortgang van het oplossen van het probleem.
  • Confider streeft ernaar het door jou gemelde beveiligingsprobleem in een systeem uiterlijk binnen 60 dagen op te laten lossen. In overleg bepalen we, na oplossen van het probleem, of en op welke wijze erover wordt gepubliceerd.
  • Confider biedt een beloning als dank voor de hulp. De beloning is afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding. Het moet wel gaan om een nog onbekend en serieus beveiligingsprobleem.

Dank

Voor het CVD-beleid van Confider is gebruik gemaakt van het voorbeeld van NCSC.