Coordinated Vulnerability Disclosure

Samenwerking

Als u een zwakke plek heeft gevonden, horen wij dit graag, zodat we zo snel mogelijk passende maatregelen kunnen nemen. We werken graag met u samen om gebruikers en systemen beter te beschermen.

Geen uitnodiging om actief te scannen

Ons zogenaamde Coordinated Vulnerability Disclosure (CVD)-beleid is geen uitnodiging om ons netwerk of onze systemen actief te scannen op zwakke plekken. Wij monitoren ons netwerk actief. Daarom is de kans groot dat wij uw scan detecteren, waarna ons Computer Emergency Response Team (CERT) een onderzoek start, wat mogelijk onnodige kosten met zich meebrengt.

Strafrechtelijke vervolging

Tijdens uw onderzoek kunt u handelingen verrichten die wettelijk verboden zijn. Indien u zich houdt aan de voorwaarden van dit beleid, zullen wij geen juridische stappen tegen u ondernemen. De Officier van Justitie behoudt echter altijd het recht om zelfstandig te beslissen over eventuele vervolging.

Verzoek aan u

  • Stuur uw bevindingen zo snel mogelijk naar security@eerstekamer.nl.
  • Maak geen misbruik van de gevonden kwetsbaarheid, zoals:
    • Meer data downloaden dan noodzakelijk is.
    • Data wijzigen of verwijderen.
  • Wees extra voorzichtig met persoonsgegevens.
  • Deel de kwetsbaarheid niet met anderen totdat deze is opgelost.
  • Test geen fysieke beveiliging, applicaties van derden, social engineering-technieken, (D)DoS-aanvallen, malware of spam.
  • Beschrijf het gevonden probleem zo expliciet en gedetailleerd mogelijk en voeg bewijsmateriaal toe. Uw melding wordt door specialisten behandeld.
  • Geef voldoende informatie om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal volstaat het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid, maar complexere kwetsbaarheden kunnen extra uitleg vereisen.

Wat wij beloven

Wij reageren binnen 5 werkdagen op uw melding met een beoordeling en een verwachte oplosdatum.

Tijdens reces van de Eerste Kamer i reageren wij binnen 10 werkdagen.

  • Wij behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij wettelijk verplicht.
  • Wij houden u op de hoogte van de voortgang van de oplossing.
  • U kunt anoniem of onder een pseudoniem melden. In dat geval kunnen wij u echter niet benaderen voor vervolgstappen, voortgang, publicatie of eventuele beloningen.
  • Indien gewenst, vermelden wij uw naam als ontdekker van de kwetsbaarheid in het rapport.
  • We kunnen u een beloning geven voor uw onderzoek, maar dit is geen verplichting. Er is geen automatische aanspraak op een vergoeding. De vorm van een beloning is niet vooraf vastgelegd en wordt per geval beoordeeld op basis van zorgvuldigheid, rapportkwaliteit en ernst van de kwetsbaarheid.
  • We streven ernaar om problemen zo snel mogelijk op te lossen en alle betrokken partijen te informeren. We werken graag mee aan een eventuele publicatie over de kwetsbaarheid nadat deze is opgelost.

Buiten scope

De Eerste Kamer beloont geen triviale kwetsbaarheden of bugs die niet misbruikt kunnen worden. De volgende bekende en geaccepteerde risico's vallen buiten de scope van dit Coordinated Vulnerability Disclosure-beleid:

  • HTTP 404-fouten/pagina's of andere HTTP non-200 codes/pagina's en Content Spoofing/Text Injection op deze pagina's.
  • Openbare banner disclosures op gangbare diensten.
  • Openbaar beschikbare bestanden of directories of niet-gevoelige informatie (bijv. robots.txt).
  • Clickjacking en kwetsbaarheden die alleen via clickjacking misbruikt kunnen worden.
  • Ontbreken van Secure/HTTPOnly-vlaggen op niet-gevoelige cookies.
  • Geactiveerde OPTIONS HTTP-methode.
  • Alles met betrekking tot HTTP-security headers, zoals:
    • Strict-Transport-Security.
    • X-Frame-Options.
    • X-XSS-Protection.
    • X-Content-Type-Options.
    • Content-Security-Policy.
    • SSL-configuratieproblemen:
  • Geen ondersteuning voor SSL Forward Secrecy.
    • Zwakke/onveilige cipher suites.
    • SPF, DKIM, DMARC-problemen.
  • Host header-injectie.
  • Melden van oudere softwareversies zonder proof of concept of werkende exploit.
  • Informatie die via metadata wordt gelekt.

Dit beleid is opgesteld om op een verantwoorde manier samen te werken aan de veiligheid van onze systemen en diensten.