Melden kwetsbaarheid

Kwetsbaarheid ontdekt? Laat het ons zo snel mogelijk weten

Wij werken intensief aan de veiligheid en optimalisatie van onze website en systemen, zodat jij en anderen zonder zorgen online kunnen (window)shoppen. Ondanks onze inspanningen kan er zich onvoorzien toch een kwetsbaarheid voordoen.

Heb je een SQL injectie, XSS of CSRF kwetsbaarheid, zwakke encryptie, informatielek, authenticatie/autorisatie issue, of ander beveiligingsprobleem op onze website gevonden en wil je dat aan ons melden? Dan ben je hier op de juiste plek. Wij werken graag met jou samen om onze websitebezoekers te beschermen en ontvangen jouw bevindingen dan ook graag zo snel mogelijk, zodat we snel maatregelen kunnen treffen.

Deze pagina bevat informatie voor softwareontwikkelaars en informatiebeveiligingsspecialisten. Bekijk onze privacyverklaring voor informatie over gegevenbescherming op onze website. Heb je een algemene vraag of opmerking over onze website? Gebruik dan het contactformulier.

Wat wij je beloven:

  • Wij zullen geen juridische stappen tegen jou ondernemen ten aanzien van je melding, tenzij we het sterke vermoeden hebben dat jij misbruik van de gevonden kwetsbaarheid hebt gemaakt of kennis over de kwetsbaarheid met anderen hebt gedeeld voordat het lek verholpen was. Je kunt er op rekenen dat een verantwoorde melding niet tot aangifte zal leiden.
  • Wij behandelen jouw melding vertrouwelijk en zullen zonder jouw toestemming geen persoonlijke gegevens delen met derden. Een uitzondering hierop is politie en justitie, in geval van aangifte of indien gegevens worden opgeëist.
  • Wij pakken jouw melding direct op. Het analyseren en een oplossingsrichting bepalen kan echter even duren. Uiterlijk binnen drie werkdagen kun je een reactie van ons verwachten met onze beoordeling en een verwachte datum voor een oplossing. Uiteraard houden we je ook daarna regelmatig op de hoogte van de voortgang van het oplossen van het probleem.
  • We lossen de kwetsbaarheid zo snel mogelijk op. Hier speelt proportionaliteit een belangrijke rol: de termijn voor het oplossen van een kwetsbaarheid is afhankelijk van verschillende factoren, waaronder de ernst en de complexiteit van de kwetsbaarheid.
  • We vinden het belangrijk om je de credits te geven die je toekomen – en die je wenst. We zullen je naam of nickname bij een publicatie over de kwetsbaarheid alleen vermelden als je daarmee instemt. Naast eeuwige dank en roem hebben we misschien ook nog wel een leuk extraatje voor je.
  • Mocht je een kwetsbaarheid vinden in software die wij gebruiken maar die door een andere partij gemaakt wordt en die kwetsbaarheid valt onder een bug bounty program, dan is een eventuele bounty uiteraard voor jou.

Een melder moet in alle vertrouwen bij ons kunnen aankloppen. Wat onze belangrijkste afwegingen voor dit beleid waren?

Wat wij van je verwachten:

  • Als je een kwetsbaarheid op onze website of in een van onze (onderliggende) systemen onderzoekt, hou je rekening met proportionaliteit van de aanval.
  • Die proportionaliteit speelt ook een rol bij het aantonen van de kwetsbaarheid zelf. Je bekijkt of verandert niet meer gegevens dan strikt noodzakelijk om de kwetsbaarheid aan te tonen. Als je bijvoorbeeld onze voorpagina kunt aanpassen, voeg je ergens een non-controversieel woord toe, in plaats van de volledige pagina over te nemen. Als je toegang weet te krijgen tot een database, volstaat een lijstje van de tabellen of de eerste regel uit één van die tabellen. Met andere woorden: misbruik de gevonden kwetsbaarheid niet door bijvoorbeeld het downloaden, veranderen of verwijderen van gegevens. Wij nemen jouw melding ook serieus zonder 'bewijs' en gaan elk vermoeden van een kwetsbaarheid uitzoeken.
  • Je kunt ons op de hoogte stellen via onderstaand formulier, of liever stuur je ons een met onze public PGP key versleutelde e-mail naar security@tiepi.nl.
  • Je voorziet de melding van voldoende informatie waarmee wij het probleem kunnen reproduceren en onderzoeken. Meestal zijn de URL en een omschrijving van de kwetsbaarheid voldoende.
  • Je deelt de kennis over de kwetsbaarheid niet met anderen zolang wij de kwetsbaarheid nog niet hebben opgelost en de redelijke oplossingstermijn niet al ruimschoots is verstreken.
  • Je verwijdert alle vertrouwelijke gegevens die je hebt verkregen in je onderzoek direct nadat wij de kwetsbaarheid hebben opgelost.

Versie 1.0, 28 mei 2021.

Deze policy is geïnspireerd door de leidraad van het NCSC, met dank aan Bits of Freedom en de voorbeeldtekst responsible disclosure beleid van Floor Terra.


Sleep en drop bestanden hier of Browse

Eerdere meldingen

We houden het overzicht van kwetsbaarheden die eerder zijn gemeld en opgelost bij op de Engelse versie van deze pagina, inclusief bijbehorende credits voor de melders.