Kwetsbaarheden melden

Responsible Disclosure

Bent u beveiligingsonderzoeker en heeft u kwetsbaarheden ontdekt in onze systemen? Dan willen we graag met u samenwerken om deze kwetsbaarheden te verhelpen voordat er misbruik van wordt gemaakt.

Iedere dag zijn specialisten van de Rabobank bezig met het optimaliseren van onze systemen en processen. Op deze manier zijn onze klanten beter beschermd tegen misbruik en is de bereikbaarheid van diensten zo optimaal mogelijk. Dit betekent natuurlijk niet dat onze systemen perfect en vrij van alle mogelijke kwetsbaarheden zijn. Vandaar ook dat we graag samenwerken met experts op het gebied van informatiebeveiliging die een mogelijke kwetsbaarheid in een van onze systemen hebben gevonden.

In scope

We vragen u alle bevindingen met betrekking tot de beveiliging van de Rabobank diensten aan ons door te geven, liefst zo snel mogelijk. Denk hierbij aan:

  • Remote Code Execution
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • SQL Injection
  • Encryptiekwetsbaarheden
  • Omzeilen van authenticatie of ongeautoriseerde toegang tot data

Niet in scope

Waar is dit meldpunt niet voor bedoeld?

  • opmerkingen over de diensten die Rabobank levert
  • opmerkingen of vragen over de bereikbaarheid van onze diensten
  • rapporteren van fraude of mogelijke fraude
  • rapporteren van mogelijk valse of zogenaamde phishing e-mails
  • rapporteren van problemen met geldautomaten (tenzij beveiligingsgerelateerd)
  • rapporteren van virussen en/of malware

Het melden van phishing e-mails kan direct door een e-mail (door) te sturen naar: valse-email@rabobank.nl.

Voor de overige meldingen vindt u meer informatie op www.rabobank.nl/veiligheid.

Uitsluitingen

De Rabobank kent geen beloning toe voor triviale of niet uit te buiten bugs. Hieronder staan een aantal voorbeelden van bekende kwetsbaarheden en geaccepteerde risico’s waarvoor geen beloning wordt uitbetaald.

  • HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s.
  • Fingerprinting/versie banner disclosure op algemene/publieke services.
  • Publiek toegankelijke bestanden en mappen met niet gevoelige informatie (e.g. robots.txt).
  • Clickjacking en gerelateerd kwetsbaarheden.
  • CSRF op formulieren die beschikbaar zijn zonder sessie (bijvoorbeeld een contactformulier/inlogformulier).
  • Cross-Site Request Forgery op uitlogfunctie.
  • Aanwezigheid van ‘autocomplete’ of ‘save password functionaliteit.
  • Ontbreken van ‘Secure’ / ‘HTTP Only’ vlaggen op niet gevoelige cookies.
  • Zwakke CAPTCHA of CAPTCHA omzeiling.
  • Bruteforce op Vergeet Wachtwoord Pagina en Account Lockout niet afgedwongen.
  • OPTIONS Method staat aan.
  • Username / E-mail enumeratie door bruteforce pogingen: via Login foutmeldingen en 'Vergeet Wachtwoord'-foutmeldingen
  • Ontbreken van HTTP Security Headers zoals: Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP.
  • SSL-configuratie-zwakheden: SSL-aanvallen die niet van buitenaf zijn te misbruiken, SSL ‘Forward Secrecy’ ontbreekt, SSL zwakke en onveilige cipher suites.
  • SPF, DKIM, DMARC issues.
  • Host Header Injection

Spelregels

Tijdens het onderzoek is het mogelijk dat er acties worden ondernomen die strafbaar zijn. Als dit gebeurt vanuit goed vertrouwen en de daarmee gepaard gaande bedoelingen gecombineerd met onderstaande regels is er geen enkele reden voor de Rabobank dit door te geven aan de instanties. We verzoeken u vriendelijk onderstaande regels te volgen en niet onverantwoordelijk te handelen.

  • Maak de kwetsbaarheid niet publiek voordat we het opgelost hebben. In plaats daarvan, praat met onze experts en geef hen de tijd het probleem op te lossen.
  • Zorg ervoor dat gedurende uw onderzoek en dat van ons met betrekking tot de gerapporteerde bevinding geen schade wordt toegebracht.
  • Maak geen gebruik van Social Engineering om toegang te krijgen tot de IT-systemen van de Rabobank.
  • Op geen enkele manier mag het onderzoek een verstoring veroorzaken van onze (online) diensten.
  • Op geen enkele wijze mag het onderzoek leiden tot het naar buiten brengen van bank- en/of klantgegevens.
  • Er is geen enkele geaccepteerde reden om een backdoor in het systeem achter te laten, ook niet om de kwetsbaarheid aan te tonen. Het aanbrengen van een backdoor zorgt ervoor dat de veiligheid nog meer wordt gecompromitteerd.
  • Maak geen wijzigingen in de data en verwijder deze niet. In het geval dat het nodig is voor de bevindingen om een kopie te maken van de data in het systeem, beperk dit dan tot wat noodzakelijk is voor de bewijslast.
  • Maak geen wijzigingen in de configuratie van het systeem.
  • Beperk de penetratie van het systeem tot wat strikt noodzakelijk is om de kwetsbaarheid te vinden en aan te tonen. Indien toegang verkregen is, verwachten wij dat deze op geen enkele wijze gedeeld wordt met anderen.
  • Gebruik geen brute force-technieken om toegang te krijgen tot de systemen.
  • Gebruik geen technieken die de bereikbaarheid van onze (online) diensten beïnvloeden.

Bovenstaande regels (de zogenaamde responsible disclosure regeling) zijn tot stand gekomen in overleg met het Nationaal Cyber Security Centrum (www.ncsc.nl).

Afwijkende internationale regels

Houd er rekening mee dat wet- en regelgeving ook voor Responsible Disclosures in elk land verschillend is. In het geval dat u buiten Nederland verblijft, kan het zijn dat ons beleid niet volledig op u van toepassing is. Het kan dus zijn dat, ook al heeft u volgens de richtlijnen van het Responsible Disclosure beleid van de Rabobank gehandeld, er door justitie wordt opgetreden ondanks het feit dat Rabobank de kwetsbaarheid niet aan hen gerapporteerd heeft.

Melding

Beschrijf de gevonden kwetsbaarheid zo duidelijk en gedetailleerd mogelijk en voeg bewijs bij. U kunt er hierbij vanuit gaat dat de melding door technische beveiligingsexperts wordt gelezen. Vermeld minimaal het volgende:

  • Welke kwetsbaarheid is gevonden.
  • De volledige URL waar deze is gevonden.
  • De genomen stappen om de kwetsbaarheid te vinden.
  • Objecten (zoals filters of invoervelden) die een rol spelen.
  • Screen prints worden op prijs gesteld.

Let op: we accepteren alleen rapporten in het Nederlands of Engels.

Melden via een versleutelde e-mail

Stuur ons een versleutelde e-mail waarin u het probleem kort en bondig beschrijft. Gebruik voor het versturen van de e-mail de PGP-key die u hieronder kunt downloaden. Een team van beveiligingsexperts onderzoekt uw melding. Geeft hen de tijd om het probleem op te lossen. U hoort zo snel mogelijk wat we van uw melding vinden, of we een oplossing gaan toepassen en wanneer we dat gaan doen.

Stuur ons een versleutelde e-mail

Download de PGP-key

Als u anoniem melding doet komt u niet in aanmerking voor een beloning.

Na ontvangst van uw melding zal een team van beveiligingsexperts deze beoordelen en zo snel mogelijk reageren. We vragen u vriendelijk om geduld te hebben en hen de tijd te gunnen grondig onderzoek te verrichten en de juiste acties uit te zetten. Zodra er meer bekend is, wordt er wederom contact met u opgenomen. We vragen u in geen geval de melding publiek te maken zonder overleg met onze experts.

Beloning

De Rabobank waardeert uw inzet om ons te helpen onze systemen en processen veilig te houden. Vandaar dat wij in de meeste gevallen tot een passende vergoeding over gaan. De hoogte van de vergoeding wordt bepaald op basis van impact. Hiervoor hoeven wij geen verantwoording af te leggen en behouden te allen tijde het recht om de vergoeding en de hoogte volledig zelfstandig te bepalen.

Als u in aanmerking komt voor een beloning, hebben wij uw persoonlijke gegevens nodig om de betaling uit te kunnen voeren. Een beloning wordt niet uitgekeerd als:

  • afzonderlijke partijen dezelfde kwetsbaarheid rapporteren. In dat geval krijgt de eerste melder een beloning.
  • u woonachtig bent in een sanctieland.
  • de kwetsbaarheid al bij ons bekend is.
  • er sprake is van misbruik of schending van spelregels.

Privacy

Om u op de hoogte te houden en een eventuele beloning toe te kunnen kennen, vragen we uw contactinformatie zoals naam, e-mailadres, PGP-Key en in een enkel geval het telefoonnummer. Als de kwetsbaarheid anoniem gerapporteerd wordt, respecteren we dit.

De contactinformatie wordt enkel en alleen gebruikt om u over bovenstaande zaken op de hoogte te houden en wordt niet doorgegeven aan derde partijen zonder uw expliciete toestemming. Dit is echter niet het geval als we bij wet verplicht zijn dit door te geven of wanneer wij het onderzoek van de gemelde kwetsbaarheid overdragen aan een externe partij. In deze gevallen doen wij al het mogelijk om deze informatie vertrouwelijk te laten behandelen en voelen wij ons verantwoordelijk voor de informatie.