Responsible disclosure
English below.
Netwerk Mediawijsheid wil de digitale weerbaarheid van Nederlanders vergroten en vraagt daarom regelmatig aandacht voor onderwerpen als online veiligheid, cybercrime en privacy.
Uiteraard vinden we dat onze eigen informatiesystemen ook veilig moeten zijn. Desondanks kan het voorkomen dat er een zwakke plek is (of is ontstaan) in de beveiliging van deze website.
Heeft u een zwakke plek gevonden? Laat het ons zo snel mogelijk weten, zodat wij het kunnen oplossen. Wij nemen meldingen altijd serieus en zullen elk vermoeden van een kwetsbaarheid uitzoeken.
Deze responsible disclosure is overigens geen uitnodiging om de website uitgebreid te scannen en te testen op zwakke plekken: dit wordt regelmatig door onszelf gedaan.
Wij vragen u:
- De bevindingen op een vertrouwelijke manier te mailen naar info@mediawijzer.net.
- Voldoende informatie te geven om het probleem te traceren en/of te reproduceren. Het IP-adres of de URL van het getroffen systeem, plus een omschrijving van de kwetsbaarheid zijn vaak al voldoende. Bij complexere kwetsbaarheden kan meer informatie nodig zijn.
- Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan strikt noodzakelijk is om het lek aan te tonen.
- Geen gegevens van het systeem te kopiëren, wijzigen of verwijderen.
- Het probleem niet met anderen te delen totdat het is opgelost.
- Geen ‘brute force’ of ‘denial of service’ uit te voeren.
- Uw contactgegevens (e-mail en telefoonnummer) achter te laten zodat we contact kunnen opnemen voor snelle samenwerking.
- Alle vertrouwelijke gegevens direct te wissen nadat het lek is gedicht.
Voldoet uw melding aan deze voorwaarden? Dan mag u dit van ons verwachten:
- Wij reageren binnen 5 werkdagen met een beoordeling van de melding en een verwachte datum voor een oplossing.
- Wij houden u op de hoogte van de voortgang van het proces.
- Wij behandelen uw melding vertrouwelijk. Wij delen uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij het noodzakelijk is om een wettelijke verplichting na te komen.
- Een toevallige ontdekking van een kwetsbaarheid in onze online omgevingen zal niet tot aangifte leiden.
- Wij vermelden uw naam als ontdekker in berichtgeving over het probleem, mits u dit wenst.
Als dank voor het melden van een nog onbekende zwakke plek kunt u in aanmerking komen voor een beloning, mits uw melding aan bovenstaande voorwaarden voldoet en het daadwerkelijk een beveiligingsrisico betreft. Indien meerdere problemen worden gemeld door dezelfde persoon of partij is er één beloning beschikbaar. Indien meerdere personen of partijen melding maken van hetzelfde probleem is er alleen een beloning beschikbaar voor de eerste melder. De grootte van de beloning bepalen we aan de hand van de ernst van het probleem en de kwaliteit van de melding tot maximaal een bedrag van 300 euro aan cadeaubonnen.
We werken graag met u samen om de veiligheid van onze site nog beter te kunnen beschermen. Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.
Deze Responsible Disclosure is gebaseerd op de tekst van Floor Terra, gepubliceerd onder een Creative Commons Naamsvermelding 3.0 licentie.
English
Responsible disclosure
Netwerk Mediawijsheid aims to increase the digital resilience among citizens and organisations, and therefore regularly calls attention to topics such as online safety, cybercrime and privacy.
Safety is a very important issue and despite our investments in the security of the website, it may occur that there is a weak spot.
Have you come across a serious security risk? Please let us know as soon as possible, so that we can solve the issue. We always take reports seriously and will investigate any potential security problem.
Please note that this responsible disclosure is not an invitation to extensively check and test the website for vulnerabilities: this is done by us regularly.
We kindly ask you:
- To e-mail your findings confidentially to info@mediawijzer.net.
- To include adequate information to trace and/or reproduce the issue. Usually, the IP-adress or URL of the affected system, plus a description of the vulnerability are sufficient. In case of more complex issues, more information may be needed.
- Not to misuse the problem by, for example, downloading more data than is strictly necessary to prove the leak or weak spot.
- Not to copy, modify or delete data from the system.
- Not to share the problem with others until it is resolved.
- Not to execute ‘brute force’ or ‘denial of service’.
- To include your contact information (e-mail address and phone number) so that we can contact you for easy cooperation.
- To delete all confidential data immediately after the problem has been resolved.
Does your report comply with these conditions? Then you may expect the following from us:
- We will respond within 5 working days with an assessment of the report and an expected date for a solution.
- We will keep you informed of the process.
- We will process your report confidentially. We will not share your personal data with third parties, unless necessary to meet legal requirements.
- A coincidental discovery of a vulnerability in our systems will not lead to legal action.
- We will mention your name in announcements about the issue, if you wish.
- To thank you for reporting an issue not yet noted by us, you may be eligible for a reward, provided that your report complies with our conditions and it indeed concerns a serious security risk. If several issues are reported by the same person, there is one reward available. If several persons report the same issue, there is only a reward available for the first person to report the issue. The amount of the reward depends on the severity of the issue and the quality of the report, up to a maximum of 300 euros in vouchers.
We gladly cooperate with you to further improve the security of our website. We strive to solve any issues as quickly as possible and we ask you to inform us about any publications about the problem after it is solved.
This responsible disclosure is based on Floor Terra’s text, published under the CC BY 3.0 NL license.