Kwetsbaarheden melden

Heeft u een probleem of zwakke plek gevonden in onze internetdiensten? Zoals cross site scripting kwetsbaarheden, SQL-injectie kwetsbaarheden of encryptie zwakheden? Wij vragen u om het probleem niet publiek te maken maar te delen met onze experts.

Als u een kwetsbaarheid meldt die door ons wordt verholpen of die tot verandering van onze dienstverlening leidt, dan ontvangt u als dank een passende vergoeding. Let op: het meldpunt is niet bedoeld voor het melden van bijvoorbeeld valse e-mails of klachten over de website of internetbankieren.

U kunt kwetsbaarheden op twee manieren bij ons melden:

1. Melden via een versleutelde e-mail

Stuur ons een versleutelde e-mail waarin u het probleem kort en bondig beschrijft in het Nederlands of Engels. Gebruik voor het versturen van de e-mail de PGP-key die u hieronder kunt downloaden. Een team van beveiligingsexperts onderzoekt uw melding. Geeft hen de tijd om het probleem op te lossen. U hoort zo snel mogelijk wat we van uw melding vinden, of we een oplossing gaan toepassen en wanneer we dat gaan doen.

Stuur ons een versleutelde e-mail

Download de PGP-key

2. Anoniem melden

Meld een kwetsbaarheid anoniem via onderstaand formulier. Als u anoniem melding doet, kunnen we u niet op de hoogte houden over het vervolg van de melding. Ook kunnen we geen eventuele beloning uitkeren en geen aangifte doen.

Kwetsbaarheid melden

Voorwaarden

Zorg ervoor dat u tijdens het onderzoeken van de gevonden kwetsbaarheid geen schade aanricht. Verder mag de dienstverlening nooit worden onderbroken en er mogen geen bank- of klantgegevens openbaar worden gemaakt.
Bij uw onderzoek voert u mogelijk strafbare handelingen uit. Als u te goeder trouw, zorgvuldig en volgens de onderstaande spelregels handelt, is er voor ons geen aanleiding om aangifte te doen.

  • Maak geen gebruik van social engineering om toegang te verkrijgen tot een systeem.
  • Plaats geen backdoor in een informatiesysteem om de kwetsbaarheid aan te tonen. Daarmee kan extra schade worden aangericht en worden onnodige veiligheidsrisico’s gelopen.
  • Maak minimaal gebruik van een kwetsbaarheid. Doe alleen datgene wat noodzakelijk is om de kwetsbaarheid vast te stellen.
  • Wijzig of verwijder geen enkel gegeven van het systeem en wees zo terughoudend mogelijk met het kopiëren van gegevens (als één record genoeg is om het probleem aan te tonen, ga dan niet verder).
  • Breng geen systeemveranderingen aan.
  • Probeer niet herhaaldelijk toegang tot het systeem te verkrijgen en deel de verkregen toegang niet met anderen.
  • Gebruik geen zogeheten 'bruteforce' om toegang tot systemen te verkrijgen. Daarbij is immers geen sprake van een kwetsbaarheid, maar alleen van het herhaaldelijk proberen van wachtwoorden.

Bovenstaande regels (de zogenaamde responsible disclosure regeling) zijn tot stand gekomen in overleg met het Nationaal Cyber Security Centrum (www.ncsc.nl).

Beloning en privacy

Beloning

Heeft u een kwetsbaarheid gemeld die door ons is verholpen of tot verandering van de dienstverlening heeft geleid? Dan ontvangt u als dank een passende vergoeding. Wij bepalen de hoogte van de vergoeding en of u hiervoor in aanmerking komt. Als meerdere melders dezelfde bevinding melden, is de vergoeding voor de eerste melder.

Privacy

Wij gebruiken uw contactgegevens alleen om u op de hoogte te houden over het vervolg van uw melding. Wij geven uw identiteit niet zonder uw instemming vrij aan derden behalve wanneer we dit wettelijk verplicht zijn, bijvoorbeeld bij vordering door justitie.