Kwetsbaarheid melden

(Coordinated Vulnerability Disclosure)

Wijzigingsdatum: januari 2023

Bij CODE24 vinden wij de veiligheid van onze website(s) en software erg belangrijk. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een zwakke plek is. Heb je een zwakke plek op de website(s) of in de software van CODE24 ontdekt? Meld de kwetsbaarheid dan bij CODE24 voordat je deze aan de buitenwereld kenbaar maakt. Het maken van een dergelijke melding heet een Coordinated Vulnerability Disclosure (CVD). Deze meldingen stellen ons in staat om de beveiliging van onze website(s) en software te verbeteren.

Melden

Een zwakke plek op de website, kan je melden aan de security officer via securityofficer@code24.nl. Versleutel jouw bevindingen met onze PGP key om te voorkomen dat de informatie in verkeerde handen valt.

-----BEGIN PGP PUBLIC KEY BLOCK-----

mDMEY0kRJBYJKwYBBAHaRw8BAQdAneVsmGvIVTpp4wq3UNEOmNKd+xkDU82YRMBU

4WC32Cm0MlNlY3VyaXR5b2ZmaWNlciBDb2RlMjQgPHNlY3VyaXR5b2ZmaWNlckBj

b2RlMjQubmw+iJkEExYKAEEWIQSAhGM2UjT6xgDl89Zf+AAURpAneQUCY0kRJAIb

AwUJA8PafAULCQgHAgIiAgYVCgkICwIEFgIDAQIeBwIXgAAKCRBf+AAURpAneReL

AQCKV3Mj4JWxYf8nMkJnPSvRGWgKtecw+UKhdJ6uWy273gEAjjrH6czvBS9OpWFP

uAsEeTVJ7GSPT85LO6/qiYlwgw24OARjSREkEgorBgEEAZdVAQUBAQdA3Ijz6luG

dqy9xGuGfyCYhVYOPSTz4/HsITaYwKu8HQkDAQgHiH4EGBYKACYWIQSAhGM2UjT6

xgDl89Zf+AAURpAneQUCY0kRJAIbDAUJA8PafAAKCRBf+AAURpAnebYaAP9X2lN6

pXZVx2qoA8MjdMq2Xvrg9WWp4duVvgTT/fAvIQD8D7eMkHf+DRQvx0+idMeXuvX/

t0Bx96GOdf1fy0W48gA=

=HpDo

-----END PGP PUBLIC KEY BLOCK-----

Wij vragen je:

  • De kwetsbaarheid niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen;

  • De kwetsbaarheid niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via de kwetsbaarheid direct te wissen;

  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service (DDoS), spam of applicaties van derden;

  • Voldoende informatie te geven om de kwetsbaarheid te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wat wij beloven:

  • Wij reageren binnen drie dagen op jouw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing;

  • Als je je aan bovenstaande voorwaarden houdt, zullen wij geen juridische stappen tegen je ondernemen betreffende de melding;

  • Wij behandelen jouw melding vertrouwelijk en zullen jouw persoonlijke gegevens niet zonder jouw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen;

  • Wij houden je op de hoogte van de voortgang van het oplossen van de kwetsbaarheid;

  • In berichtgeving over de kwetsbaarheid zullen wij, indien je dit wenst, jouw naam vermelden als de ontdekker.

Uitsluitingen

Deze disclosure is niet bedoeld voor het melden van klachten. De regeling is ook niet bedoeld voor:

  • Het melden dat de website niet beschikbaar is;

  • Het melden van valse e-mails (phishing e-mails);

  • Het melden van oplichting.

Ook sluiten we specifieke problemen uit die, naar onze mening, geen bedreiging vormen.

Uitgesloten systemen:

  • Alle systemen anders dan domeinen eindigend op ‘code24.nl’.

Uitgesloten typen beveiligingsproblemen:

  • SPF/DMARC-records;

  • (D)DOS-aanvallen en snelheidsbeperking van oproepen;

  • Problemen die neerkomen op zelf-XSS;

  • Foutmeldingen zonder gevoelige gegevens;

  • Rapporten van welke software wij gebruiken kunnen worden afgeleid.