Responsible Disclosure

Introductie

Bij MITE3 streven we naar een hoog beveiligingsniveau binnen onze ICT-systemen. Toch kunnen er kwetsbaarheden voorkomen. We waarderen het enorm als je ons helpt deze op een verantwoorde manier te identificeren en te melden.

Deze procedure is gebaseerd op de Responsible Disclosure-richtlijn van het Nationaal Cyber Security Centrum (NCSC).

Kwetsbaarheid gevonden?

Heb je een zwakke plek ontdekt in een van onze systemen? Laat het ons dan zo snel mogelijk weten via [email protected]. We werken graag met je samen om het probleem veilig en snel op te lossen.

Wat we van je vragen

• Stuur je bevindingen per e-mail naar [email protected]
• Geef voldoende informatie om het probleem te reproduceren, zoals een URL, IP-adres en een korte beschrijving
• Voeg een manier toe om contact met je op te nemen (bijv. e-mailadres of telefoonnummer), zodat we kunnen afstemmen over een oplossing
• Meld de kwetsbaarheid zo snel mogelijk na ontdekking
• Deel je bevindingen niet met anderen totdat het probleem is opgelost
• Ga verantwoord om met de kennis: toon aan dat het probleem bestaat zonder verdere schade te veroorzaken

Wat niet is toegestaan

Om veilig onderzoek mogelijk te maken zonder juridische risico’s, zijn de volgende handelingen expliciet verboden:

• Het installeren van malware
• Het kopiëren, wijzigen of verwijderen van gegevens
• Het aanbrengen van wijzigingen in systemen
• Het herhaaldelijk benaderen van systemen of het delen van toegang met anderen
• Het uitvoeren van brute-force-aanvallen (geautomatiseerde inlogpogingen)
• Het uitvoeren van Denial-of-Service-aanvallen
• Het gebruik van social engineering-technieken (zoals phishing of het misleiden van medewerkers)

Wat je van ons kunt verwachten

Als je je aan de bovenstaande voorwaarden houdt:

• Volgen er geen juridische consequenties naar aanleiding van je melding
• Ontvang je binnen 3 werkdagen een ontvangstbevestiging
• Ontvang je binnen 5 werkdagen een inhoudelijke reactie, inclusief een beoordeling en verwachte oplostermijn
• Houden we je op de hoogte van de voortgang
• Verhelpen we het probleem zo snel mogelijk, uiterlijk binnen 90 dagen
• Kun je, met jouw toestemming, worden vermeld als ontdekker — bijvoorbeeld in onze Hacker Hall-of-Fame
• Behandelen we je melding vertrouwelijk en delen we je persoonsgegevens niet met derden (tenzij wettelijk verplicht)

Beloning

Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van je melding kunnen we een passende beloning aanbieden. Deze kan variëren van een T-shirt tot een maximum van €100.

Voorwaarden:

• De kwetsbaarheid moet nieuw en relevant zijn
• De kwetsbaarheid mag niet betrekking hebben op actuele standaardsoftware of clouddiensten die wij gebruiken
• Je moet ons in staat stellen het probleem te verifiëren

Melding indienen

Stuur je melding naar [email protected]. Voeg indien mogelijk het volgende toe:

Contactgegevens:

• Naam of pseudoniem
• E-mailadres

Technische details:

• IP-adres(sen)
• Domeinnaam / URL
• Relevante headers of payloads (indien van toepassing)

Beschrijving van de kwetsbaarheid:

• Uitleg van het probleem
• Risico of potentiële impact
• Eventuele proof-of-concept
• Suggesties voor een oplossing

Voor meer informatie, zie ons security.txt-bestand:
https://mite3.nl/.well-known/security.txt

Hacker Hall-of-Fame

Wij zijn dankbaar voor de security researchers die bijdragen aan onze digitale veiligheid. Hieronder vind je een overzicht van geldige kwetsbaarheidsmelders die met hun toestemming in onze Hall-of-Fame zijn opgenomen.

Heb je een kwetsbaarheid ontdekt? Volg dan de bovenstaande meldprocedure – we erkennen graag jouw bijdrage.