Zoeken

Kwetsbaarheden melden


Als Omgevingsdienst Flevoland & Gooi en Vechtstreek vinden wij de informatieveiligheid van onze IT-systemen belangrijk. Deze systemen hebben wij daarom ook goed beveiligd. Mocht u toch een zwakke plek in ons systeem ontdekken, dan worden wij hier graag over op de hoogte gebracht. Wij zullen dan gepaste maatregelen nemen om de zwakke plekken weg te kunnen halen en de systemen nog beter te beschermen.

Geen uitnodiging tot acties scannen

Dat Omgevingsdienst Flevoland & Gooi en Vechtstreek een Coordinated Vulnerability Disclosure (CVD) heeft, is geen uitnodiging om ons bedrijfsnetwerk actief te gaan scannen op zwakke plekken. Wij controleren zelf ons eigen netwerk op zwakke plekken.

Geen beloning

Omgevingsdienst Flevoland & Gooi en Vechtstreek geeft geen beloning voor het vinden en rapporteren van zwakke plekken in ons IT-Systeem.

Geen strafrechtelijke vervolging

Als u tijdens uw onderzoek handelingen uitvoert die volgens het strafrecht strafbaar zijn terwijl u zich wel aan onderstaande voorwaarden heeft gehouden, dan zal Omgevingsdienst Flevoland & Gooi en Vechtstreek u niet strafrechtelijk vervolgen.

Voorwaarden

  • Misbruik de gevonden zwakke plek niet om meer gegevens te downloaden of om gegevens te wijzigen
  • Ga secuur en verstandig om met persoonsgegevens
  • Verwijder de vertrouwelijke gegevens die u heeft gevonden
  • Deel deze zwakke plek niet met anderen
  • Maak geen gebruik van aanvallen op fysieke beveiliging of applicaties van derden, van social enginering, D-DOS aanval, malware of spam.
  • Verstrek ons met voldoende informatie om de zwakke plek op te kunnen lossen. (ip-adres of url van de getroffen systemen, bij complexe kwetsbaarheden een Proof of Concept)

Wij zullen:

  • Binnen 3-werkdagen reageren op uw bevinding
  • De verwachte datum van de oplossing doorgeven, hierbij is het streven om de kwetsbaarheid z.s.m. op te lossen
  • Uw melding vertrouwelijk behandelen
  • Nooit uw persoonlijke gegevens delen (anoniem melden is vanzelfsprekend mogelijk)
  • U op de hoogte houden van de status van het probleem

Uitsluitingen:

  • HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s en content spoofing/text injecting op deze pagina's
  • Fingerprinting/ versievermelding op publieke services
  • Ontbrekende best practices of output van geautomatiseerde scanhulpmiddelen zonder bewijs van exploiteerbaarheid;
  • Output geautomatiseerde scans van hulpprogramma's. Voorbeeld: Web-, SSL/ TLS-scan, Nmap-scanresultaten, enz.
  • Publieke bestanden of directories met ongevoelige informatie (bijvoorbeeld robots.txt)
  • Clickjacking en problemen die alleen te exploiten zijn via clickjacking
  • Geen secure/HTTP-only flags op ongevoelige cookies
  • OPTIONS HTTP method ingeschakeld
  • Alles gerelateerd tot HTTP-security headers, bijvoorbeeld:
  • Strict-Transport-Security
  • X-Frame-Options
  • X-XSS-Protection
  • X-Content-Type-Options
  • Content-Security-Policy
  • Issues met SSL-configuratie issues
  • SSL Forward secrecy uitgeschakeld
  • Zwakke/onveilige cipher suites
  • Issues met STARTTLS, DNSSEC, DANE, SPF, DKIM of DMARC
  • Host header injection
  • Rapporteren van verouderde versies van enige software zonder een proof of concept van een werkende exploit
  • Informatieblootstelling in metadata