Kwetsbaarheden melden

Heb je een probleem of zwakke plek gevonden in onze internetdiensten? Deel het met onze experts. We werken graag met je samen om deze problemen op te lossen.

Responsible Disclosure

Ben je beveiligingsonderzoeker en heb je kwetsbaarheden ontdekt in onze systemen? Dan willen we graag met je samenwerken om deze kwetsbaarheden te verhelpen voordat er misbruik van wordt gemaakt.

Iedere dag zijn specialisten van Rabobank bezig met het optimaliseren van onze systemen en processen. Op deze manier zijn onze klanten beter beschermd tegen misbruik en is de bereikbaarheid van diensten zo optimaal mogelijk. Dit betekent natuurlijk niet dat onze systemen perfect en vrij van alle mogelijke kwetsbaarheden zijn. Vandaar ook dat we graag samenwerken met experts op het gebied van informatiebeveiliging die een mogelijke kwetsbaarheid in een van onze systemen hebben gevonden.

In scope

We vragen je alle bevindingen met betrekking tot de beveiliging van Rabobank diensten aan ons door te geven, liefst zo snel mogelijk. Denk hierbij aan:

Remote Code Execution Cross-Site Scripting (XSS) Cross-Site Request Forgery (CSRF) SQL Injection Encryptiekwetsbaarheden Omzeilen van authenticatie of ongeautoriseerde toegang tot data

Niet in scope

Waar is dit meldpunt niet voor bedoeld?

opmerkingen over de diensten die Rabobank levert opmerkingen of vragen over de bereikbaarheid van onze diensten rapporteren van fraude of mogelijke fraude rapporteren van mogelijk valse of zogenaamde phishing e-mails rapporteren van problemen met geldautomaten (tenzij beveiligingsgerelateerd) rapporteren van virussen en/of malware

Het melden van phishing e-mails kan direct door een e-mail (door) te sturen naar: valse-email@rabobank.nl.

Uitsluitingen

De Rabobank kent geen beloning toe voor triviale of niet uit te buiten bugs. Hieronder staan een aantal voorbeelden van bekende kwetsbaarheden en geaccepteerde risico’s waarvoor geen beloning wordt uitbetaald.

HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s. Fingerprinting/versie banner disclosure op algemene/publieke services. Publiek toegankelijke bestanden en mappen met niet gevoelige information, (e.g. robots.txt). Clickjacking en gerelateerd kwetsbaarheden. CSRF op formulieren die beschikbaar zijn zonder sessie (bijv. een contactformulier/inlogformulier). Cross-Site Request Forgery op uitlogfunctie. Aanwezigheid van ‘autocomplete’ of ‘save password functionaliteit. Ontbreken van ‘Secure’ / ‘HTTP Only’ vlaggen op niet gevoelige cookies. Zwakke CAPTCHA of CAPTCHA omzeiling. Bruteforce op Vergeet Wachtwoord Pagina en Account Lockout niet afgedwongen. OPTIONS Method staat aan. Username / Email enumeratie door bruteforce pogingen: via Login foutmeldingen. ‘Vergeet Wachtwoord’ Wachtwoord’-foutmeldingen. Ontbreken van HTTP Security Headers zoals: Strict-Transport-Security. X-Frame-Options. X-XSS-Protection. X-Content-Type-Options. Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP. SSL-configuratie-zwakheden: SSL-aanvallen die niet van buitenaf zijn te misbruiken. SSL ‘Forward Secrecy’ ontbreekt.SSL zwakke en onveilige cipher suites. Missing HTTP Public Key Pinning (HPKP). SPF, DKIM, DMARC issues. Host Header Injection. Content Spoofing/Text Injection op 404 pagina's. Het rapporteren van oude software versies zonder een proof of concept of werkende exploit. Het lekken van informatie in Metadata. > Het missen van DNSSEC. Verlopen of inactive domeinen (domain takover). Same Site Scripting / localhost DNS record.

Meer informatie

phone

Hulp nodig?

Bellen

Bel met één van onze medewerkers

Heb je de Rabo App?

Bel ons dan met de app. Zo hebben wij je gegevens direct bij de hand en kunnen we je nog sneller helpen.

Of kies hier het gewenste nummer